Google Baseに脆弱性、現在は修正

[IDG Japan]

　米Googleは新しいコンテンツホスティングサービス「Google Base」で、ユーザー情報の盗難を許す可能性のあるセキュリティ問題を修正した。

　この問題は、発見されて数時間以内に修正されたが、攻撃者がGoogle Baseのユーザーからcookieなどの情報を盗み出せる状態になっており、Google Base Webページ内に偽のフォームを組み込むことも可能だった。この種の問題はクロスサイトスクリプティングの脆弱性と呼ばれ、Googleの検索サービスとYahoo!の地図サービスでも報告されている。

　Google Baseのバグを見つけるのは簡単で、Google側の「不適切な」プログラミングが原因だと、この問題を発見した英国のコンピュータ専門家、ジム・レイ氏は話す。「どう見てもセキュリティテストがまったく行われておらず、あからさまな（クロスサイトスクリプティングの）脆弱性があった」。同氏は16日付のブログでGoogle Baseについてこう記している。

　この記事についてGoogleに電話でコメントを求めたが返事はなかった。