IEにまた脆弱性報告、Google Desktopの情報が盗まれる恐れ

IEの脆弱性が原因で、攻撃者がGoogle DesktopユーザーのHDDをスキャンして重要な情報を盗み出すことができてしまうとイスラエルのハッカーが指摘した。（IDG）

[IDG Japan]

　MicrosoftのInternet Explorer（IE）でフィッシングの手口を使い、Google DesktopユーザーのHDDをスキャンすることができてしまうと、イスラエルのハッカーが指摘した。IEがWebページを処理する方法に脆弱性が存在するため、悪質なWebサイトを攻撃に使ってこのサイトを訪れたユーザーのクレジットカード番号やパスワードといった重要情報を盗むことが可能だという。

　「IEを使っているGoogle Desktopユーザーは現在、完全な無防備状態にある」。ハッカーのマタン・ギロン氏は電子メールの取材に応えてこう語った。「経験を積んだ攻撃者なら、ユーザーのHDDからパスワードやクレジットカード番号などの重要な情報をこっそり盗み出すことができる。Googleは電子メールもインデックス化していてWebインタフェースで読めるようになっているため、この攻撃を使ってそれにアクセスすることも可能だ」

　ギロン氏は、この攻撃の仕組みについての詳しい情報とコンセプト実証コードを、自分のブログに掲載している。

　問題のIEの脆弱性は、IEがCSSフォーマットを使ってWebページのレイアウト情報を処理する方法に関連している。攻撃を成功させるためにはまず、ユーザーをだまして悪質なWebサイトを訪れさせる必要があるとギロン氏。攻撃はIE 6とGoogle Desktop v2で可能だが、IEのほかのバージョンでも機能する可能性がある。FirefoxやOperaなどの非Microsoftブラウザでは機能しない。

　ギロン氏によれば、ユーザーがブラウザのJavaScriptを無効にすれば攻撃は回避できる。