Toolbarの脆弱性にGoogle「深刻ではない」

Google Toolbarの脆弱性問題でコンセプト実証コードが公開された。Googleも脆弱性の存在を認めているが、深刻な問題とは認識していないという。

[ITmedia]

　Google Toolbarに未パッチの脆弱性が見つかった問題で、セキュリティ企業のTrend Microは12月20日、研究者がこの問題のコンセプト実証（PoC）コードを公開したと伝えた。

　PoCは、ユーザーにGoogle Toolbarの新しいボタンをインストールさせることにより、攻撃者が悪質ソフトをインストールしたり、フィッシング攻撃を実行できてしまうことを実証するものだという。

　影響を受けるのはInternet Explorer（IE）およびFirefox用（一部のみ）のGoogle Toolbar 4と、IE用のGoogle Toolbar 5β。

　Trend Microによると、Googleは現在、この問題を修正中であることを認めた。ただ、ユーザーに感染させるためには幾つもの段階を経る必要があることから、深刻な脆弱性とは位置付けていないという。

　Trend Microは、GoogleがAPI文書を公開するなどしてToolbarのカスタムボタン作成を奨励していることにより、マルウェア作者にとっても大きな可能性が開けていると指摘。当面、Google Toolbarに新しいボタンを追加するのは控えた方がいいとアドバイスしている。