Googleの検索アプライアンスに脆弱性

[ITmedia]

　米Googleの企業向け検索アプライアンス「Google Search Appliance」で、フィッシング詐欺に利用される恐れのある脆弱性が報告された。

　セキュリティ情報サイトのNIST.orgに掲載された情報によると、Google Search Applianceにクロスサイトスクリプティングの脆弱性が存在し、UTF-7の文字コードを使って特殊文字（例えば<,>など）の入力に関する処理を回避できてしまう。

　こうした特殊文字は通常なら除外されるかテキストとして処理されるため、HTMLやJavaScriptとして検索結果に反映されることはない。

　NISTではこの情報を最初に掲載したサイトの運営者と連絡を取り、大手政府機関や有名大学ほか大手サイトで脆弱性を確認したと説明。Google Search Applianceは多数の政府機関や金融機関で使われており、この脆弱性を悪用した大規模なフィッシング攻撃が起きるのは時間の問題だと指摘した。

　GoogleはUS-CERTからの通報を受けてこの問題に対処し、顧客にも連絡を取ったと伝えられている。