β版が公開されたばかりのGoogle Baseにクロスサイトスクリプティングの脆弱性が存在し、cookieなどの情報を盗み出せる状態になっていた。(IDG)
米Googleは新しいコンテンツホスティングサービス「Google Base」で、ユーザー情報の盗難を許す可能性のあるセキュリティ問題を修正した。
この問題は、発見されて数時間以内に修正されたが、攻撃者がGoogle Baseのユーザーからcookieなどの情報を盗み出せる状態になっており、Google Base Webページ内に偽のフォームを組み込むことも可能だった。この種の問題はクロスサイトスクリプティングの脆弱性と呼ばれ、Googleの検索サービスとYahoo!の地図サービスでも報告されている。
Google Baseのバグを見つけるのは簡単で、Google側の「不適切な」プログラミングが原因だと、この問題を発見した英国のコンピュータ専門家、ジム・レイ氏は話す。「どう見てもセキュリティテストがまったく行われておらず、あからさまな(クロスサイトスクリプティングの)脆弱性があった」。同氏は16日付のブログでGoogle Baseについてこう記している。
この記事についてGoogleに電話でコメントを求めたが返事はなかった。
Copyright(C) IDG Japan, Inc. All Rights Reserved.