編集部からのお知らせ
「半導体動向」記事まとめ
「リスキリング」に関する記事まとめ

グーグル、クロスサイトスクリプティングの脆弱性に対処

文:Tom Espiner(CNET News.com) 翻訳校正:編集部

2007-01-17 11:38

 Googleは、同社ウェブホスティングサービスで見つかったクロスサイトスクリプティングの脆弱性に対処した。

 Google Blogoscopedブログによると、このクロスサイトスクリプティング(XSS)の脆弱性は、未対処のままにしておくと、第三者のGoogleドキュメントまたはスプレッドシートの改ざんや、メールの件名や検索履歴の不正な閲覧を可能にしてしまうという。

 Googleの動向に対するコメントを書き込むサードパーティーサイトGoogle Blogoscopedを運営するPhilipp Lenssen氏によると、今回の脆弱性は米国時間1月14日夜に報告されたBlogger Custom Domainsの脆弱性に似ているという。

 同氏は、「このセキュリティホールは、HTMLインジェクションに正しく対処できないGoogleサービスのアップデートに起因している」と述べている。

 Lenssen氏によると、Tony Ruscoe氏という別のGoogle専門家は、先に明らかになったCustom Domainsの脆弱性を利用してページを作成し、Google.comドメインで公開することに成功したという。Ruscoe氏は、コードを使ってユーザーのGoogleのクッキーを盗みだし、Googleサービスにアクセスできることを証明した。

 この脆弱性が存在する場合、JavaScriptコードを使ってクッキーのデータを外部に渡すことも可能となってしまう。

 Googleは16日、関係者が電子メールで声明を出し、両方の脆弱性に対処したことを明らかにした。

 同関係者は、「Googleはこれらの問題を指摘されたが、これに素早く対応し、既に解決した。ユーザーのデータが改ざんされたとの報告は一切受けていない」と述べた。

 さらにGoogleは、脆弱性が公になる前にパッチを用意できるよう、セキュリティ問題は直接同社に報告することをバグハンターらに要請した。この「責任ある開示」はウェブやソフトウェアベンダーの間で支持されているが、これを渋るセキュリティ研究者も増えている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 開発

    なぜ、コンテナー技術を使うことで、ビジネスチャンスを逃さないアプリ開発が可能になるのか?

  2. セキュリティ

    2022年、セキュリティトレンドと最新テクノロジーについて、リーダーが知っておくべきこと

  3. ビジネスアプリケーション

    全国1,800人のアンケートから見えてきた、日本企業におけるデータ活用の現実と課題に迫る

  4. 運用管理

    データドリブン企業への変革を支える4要素と「AI・データ活用の民主化」に欠かせないテクノロジー

  5. 経営

    テレワーク化が浮き彫りにしたリソース管理の重要性、JALのPCセットアップを支えたソフトウエア

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]