US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。
米Googleが試験提供しているRSSリーダーの「Google Reader」に脆弱性が存在し、悪用されるとサービスへのログインが妨害される可能性があるとして、US-CERTが4月18日、アドバイザリーを公開した。
それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在する。
Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が悪質なRSSフィードのイメージソースとしてログオフボタンを提示することにより、このリンクを実行できてしまう可能性がある。ユーザーが問題のRSSフィードをロードすると、Google Readerのアカウントにログインできなくなってしまう。
この問題は、リモートで認証を受けない攻撃者が悪用し、Google Readerへのログインを妨害できる可能性がある。
今のところ現実的な解決策は存在しないが、ブラウザでサードパーティーサイトから画像がロードされないようにすれば、問題を回避できる可能性があるとアドバイザリーでは解説している。
Copyright © ITmedia, Inc. All Rights Reserved.