• メールアドレス:
  • パスワード:
ZDNet Japanからのお知らせ
ニュース
+
 セキュリティ
+
 
  • チャネルを指定:
  • 日付を指定:
  •  〜 

Google SpreadsheetのXSS脆弱性が明らかに

文:Robert Vamosi(Special to CNET News.com)
翻訳校正:編集部
2008/04/15 15:14

トラックバック(0)

ブックマーク(-)

印刷用ページ

 セキュリティ専門家Bill Rios氏は米国時間4月14日、Google Spreadsheetを利用したクロスサイトスクリプト(XSS)攻撃により、 Googleの全サービスが無防備になると発表した。XSSは利用者が入力したデータを正しくフィルタリングしていない合法サイトを利用した攻撃法で、攻撃者に悪意ある命令を実行される恐れがある。しかし、今回のケースでは、いずれかのxxxx.google.comサイトへのアクセス情報が漏れれば、Gmail、Docs、CodeなどのGoogleサービスへのアクセスにも影響が及ぶ。

 GoogleはCNET News.comに電子メールを寄せ、「当社は利用者にかかわる情報の安全を極めて重視している。この脆弱性については速やかに対処し、公表される前に改修した。今のところ、この脆弱性が悪用された報告は受けていない」と述べ、Rios氏が公表した脆弱性は改修済みであると述べた。

 同氏によると、Internet Explorerを使ってGoogle Spreadsheetを利用する際、サーバから戻されるHTTPレスポンスのコンテンツタイプを変更できたという。問題は、ある環境下でブラウザがコンテンツタイプヘッダを無視する点にある。同氏は、いかなるブラウザも条件によってはコンテンツヘッダを無視することがあり、したがってこれはGoogleだけの問題ではないと指摘した。

 同氏のブログによると、Google Spreadsheetで最初のセルにalert (document.cookie)というスクリプトをHTMLタグで囲んで入力したという。これを保存して、CSVファイル形式のファイルとしてダウンロードしようとすると、コンテンツタイプはtext/plainとなる。文字列にHTMLが含まれているため、Internet Explorerはそれに基づき入力内容をHTMLとして解釈してしまうという。

 したがって、一般のユーザーがこのURLを開いてしまうと、攻撃者のディスプレイにはalertダイアログボックスが表示され、ユーザーがそのとき利用していたGoogleセッションの情報が表示される。もしこのセッションクッキーはユーザーが利用するGmailやDocsなどのGoogleサービスでも有効だ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

トラックバック(0)

ブックマーク(-)

印刷用ページ

関連記事
この記事を読み解くキーワード:
脆弱性
セキュリティ情報
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
関連製品

注目記事

「似非」SOAを見破る10の方法

・SOAと言いながらも、実はSOAの体を成していないものがある。本記事では、そういった「似非」SOAを見破る方法を紹介する。 2008/07/09 08:00 【ITマネジメント

マイクロソフト:Vistaについて「心配する時期は終わった」

・Microsoftはパートナー向けのカンファレンスで、Vistaについて心配する時期は過ぎたことを改めて強調し、特定のハードやソフトのVistaとの互換性をチェックできる新ポータルサイトや、小規模企業向けの新サポートサービスを発表した。 2008/07/09 09:07 【オール・アバウト・マイクロソフト

カテゴリ新着

記事ランキング
  1. マイクロソフト、2008年7月の月例パッチを公開--重...
  2. マイクロソフト、ActiveXコントロールの脆弱性利用...
  3. ラックとA&Iが経営統合、持株会社「ラックホールデ...
  4. Firefox 2とOperaの最新セキュリティアップデート...
  5. MS、7月の月例パッチを予告--全4件の「重要」な脆...
  6. マカフィー、ゲートウェイアプライアンスを発表--...
  7. 富士通、ハードディスクレス端末「FMVシンクライア...
  8. ノキア、ネットワークセキュリティ装置にUTM対応最...
  9. NEC、異常な金融取引を検出する監視システム「アカ...
  10. マイクロソフト、企業向けセキュリティソフト「ISA...

ホワイトペーパー

ホワイトペーパー Feed

プレスリリース

プレスリリース Feed

イベント

イベント RSS Feed

近日開催のイベント

レビュー

レビュー Feed

最新記事

企画特集

今知るべき仮想化情報今知るべき仮想化情報
インフラからアプリケーションまで、これを知らずに仮想化は語れない
Techno ExchangeTechno Exchange
全体最適化で進めるCTCのグリーンIT戦略
「未来の、その先」をどう提言していくか「未来の、その先」をどう提言していくか
クラウドコンピューティングが導く新しいシステム
DELL連載第4回〜「Microsoft System Center」DELL連載第4回〜「Microsoft System Center」
PowerEdgeサーバに最適な運用管理ソリューション後編
ZDNet Japan Green ITZDNet Japan Green IT
洞爺湖サミット目前!環境に配慮したGreen ITとは?
ブレードPCでクライアント統合
セキュリティ、TCO削減、グリーンITを一挙解決
スパムメール検出率No.1
強固なスパムメール対策と積極的防衛

ブログ

ブログ RSS Feed
洞爺湖と環境と私
裏方の裏方日記〜日々是広報 2008/05/20 12:57

IT製品比較

IT製品で御社の問題を解決:

営業力不足
業務効率低下
貧弱なネットワーク

コスト増大
情報力不足
ネット販促の不振

企業情報センター
powerd by.bnet

注目トピックス From CNET Japan

プロがなぜ、二次創作を願うのか--Gacktが歌い、三浦建太郎が描く「がくっぽいど」
ミュージシャンのGacktさんと漫画家の三浦建太郎さんという2人のプロが参加しながらも、ユーザーが自由に作品を公開できるという歌声合成ソフト「がくっぽいど」。この開発経緯を開発元に聞いた。
iPhone、月額通信料金は7280円からに--ソフトバンクモバイルが発表
UPDATE ソフトバンクモバイルはiPhoneの通信料金プランを発表した。月額980円のホワイトプランに、データ定額制プラン「パケット定額フル」、「S!ベーシックパック(i)」をあわせ、月額7280円からとなる。
ジョブズ氏引退後のアップルを考える
カリスマ的な創業者が社を去った後、会社の業績が低迷する事例は、ハイテクだけでなく、さまざまな業界で見られる。アップルは「ジョブズ氏後」に備えているのかどうか検討する。
シーネットネットワークスジャパンについて
Copyright ©1995-2008 CNET Networks, Inc. All Rights Reserved.