Firefoxの脆弱性、GoogleのXSS問題に波及

[ITmedia]

　Firefoxブラウザに見つかった未パッチの脆弱性に関連して、Googleのクロスサイトスクリプティング（XSS）問題が報告された。SANS Internet Storm Centerなどが11月11日に伝えている。

　Firefoxの脆弱性は、Mozillaベースブラウザがサポートしている圧縮ファイル解凍のためのjar: URLプロトコルに関するもので、ハッカーサイト「GNUCITIZEN」で最初に報告された。まだパッチは公開されていない。

　GNUCITIZENはその後、GoogleドメインでこのFirefoxの脆弱性を悪用される恐れがあるという情報を掲載した。方法としては、Google DocumentsやGroupsといったGoogleの公開URLにJARアーカイブをアップロードする方法や、リダイレクトを使う方法が考えられるとしている。

　別の研究者は、この問題によって、例えばGoogleサービスにバックドアを仕掛けたり、ユーザーの検索結果や電子メールの盗み見などが可能になると分析しているという。

　現時点でGoogleのリダイレクトが実際に問題になったという情報は入っていないとしながらも、Googleがオープンリダイレクトをふさぐか、Firefoxが即座にアップデートをリリースしない限り、安全とは言えないとGNUCITIZENは警告。同じ手口はほかのWebアプリケーションにも応用できると指摘している。