ニュース
Google Appsのシングルサインオンに脆弱性、Googleが対処:管理者や開発者はアップデートを
脆弱性を突かれると、攻撃者がユーザーのGoogleアカウントにアクセスできてしまう恐れがあった。
米Googleのアプリケーションスイート「Google Apps」のシングルサインオン(SSO)サービスに脆弱性が見つかり、Googleが問題を修正した。
US-CERTなどの情報によると、Google AppsのSSOは、IDやパスワードなどの認証情報を安全にやり取りするための仕様であるSAMLを使っているが、この実装方法に問題があった。
この脆弱性を突かれると、悪意を持ったサービスプロバイダーがユーザーになりすまして別のサービスにログオンすることが可能になり、攻撃者がユーザーのGoogleアカウントにアクセスできてしまう恐れがあった。ただし、この脆弱性を悪用するためには攻撃者がユーザーをだまし、まず自分たちが用意したサイトにログオンさせる必要があるという。
GoogleはSAMLベースのSSO実装方法を変更してこの問題に対処。管理者や開発者は、IDプロバイダーのアップデートが必要になる。ユーザーは、サードパーティーのサービスプロバイダーで認証情報を入力してGoogleのサービスにログインする際に注意を払う必要がある。
関連記事
- Google Chromeの脆弱性4件を修正
GoogleはChrome 0.2.149.29で4件の脆弱性を修正した。コード実行の恐れがある深刻な脆弱性はこのうち2件だ。 - Gmailアドレスから氏名を明らかに、スパムへ悪用の恐れも
「admin@gmail.com」のアドレスの持ち主の氏名も、この方法で表示された。 - Googleユーザーの半数近くがWebブラウザの脆弱性を放置
全体の45.2%に当たる6億3700万人がWebブラウザを最新版に更新しておらず、サイトを閲覧しただけでマルウェアに感染する恐れがあることが判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.