速報
GoogleがGmailの脆弱性に対処、ただし注意も必要
Gmailに見つかったクロスサイトリクエストフォージェリ(CSRF)の脆弱性についてUS-CERTがアラートを公開した。
米GoogleのWebメールサービス「Gmail」に脆弱性が見つかった問題で、US-CERTがアラートを公開した。脆弱性は既に修正された模様だ。
アラートによると、Gmailにクロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在し、ユーザーがGmailアカウントにログインした状態で細工を施したリンクをクリックすると、攻撃者がメールのフィルタを作成して任意のアドレスにメールを転送させることができてしまう。
US-CERTはこの脆弱性を発見したハッカーサイト「GNUCITIZEN」の報告を引用し、Googleはこの問題を修正済みだと伝えている。GNUCITIZENはGoogleの対処を受け、コンセプト実証コード(PoC)を公開した。
GNUCITIZENによると、Googleがこの脆弱性を修正した後も、被害者のフィルタリストに攻撃者が作成したフィルタは残ってしまい、攻撃は続くという。ユーザーは自分のフィルタリストをチェックして、怪しいものがあれば削除する必要がありそうだ。
また、US-CERTではクロスサイトスクリプティング(XSS)やCSRFの脆弱性による今後の被害を免れる方法として、GmailのSMTP/POPサーバを使ったメールの送受信、Firefox拡張機能の「NoScript」利用、重要なメールや添付ファイルの暗号化などを挙げている。
関連記事
- Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ
検索アプライアンスの脆弱性に続き、メールサービス「Gmail」の脆弱性情報が公開された。 - Googleの企業向け検索アプライアンスにXSSの脆弱性
検索アプライアンス「Google Search Appliance」に関する脆弱性情報が公開された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.