Google Toolbarにダイアログ偽装の脆弱性があり、これを悪用すると不正なファイルを実行したり、個人情報を盗むことが可能になってしまうと、セキュリティ研究者アビブ・ラフ氏が警告している。
定期的にソフトの脆弱性を発見、報告している有名ハッカーのラフ氏は、細工をしたWebページを使って、ユーザーをだましてGoogle Toolbarに不正なボタンを追加させる方法を発見した。
同氏はIMによるeWEEKの取材に応え、複数のバージョンのGoogle Toolbarで、ユーザーが新しいツールバーアイコンやボタンを追加する時に、偽装した情報をユーザーに提示することが可能になっていると語った。
「これにより攻撃者は、自分の作ったボタンを信頼できるドメインのものだとユーザーに思いこませることができる。このボタンは不正なファイルのダウンロードやフィッシング攻撃に利用できる」とラフ氏はアドバイザリで述べている。
eWEEKはInternet Explorer(IE)向けGoogle Toolbar 5β版でこのバグを確認した。ラフ氏は、IEとFirefox向けの製品版(Google Toolbar 4)も影響を受けると指摘している。
Googleには通知済みで、同社はフィックスを開発中だと同氏は言う。
「攻撃者はこの脆弱性を利用して、標的を信用させ、ボタンを追加させてそれを利用することができる。被害者はそのボタンがダウンロードするファイルを信用してしまったり、個人情報を入力してしまう。Google Toolbarの新しいβ版では、ユーザーにボタンをクリックするよう数秒おきに通知することも可能だ」(同氏)
同氏は、特別に作成したWebページを使って、サードパーティーのツールバーボタンをGoogleドメインからダウンロードしているとユーザーに思いこませる方法を示すコンセプト実証コードを公開した。
フィックスが提供されていないため、Google Toolbarユーザーは新しいボタンの追加を避けるようラフ氏は勧めている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR