グーグルの各種サービスで相次ぐ脆弱性の暴露

google 2007-06-06 14:45:57

 ウェブサイト「The Register」が、先週から今週にかけて、執念深いハッカーたちがGoogle製品のセキュリティ脆弱性を相次いで暴いていると報じた。悪質な攻撃者がユーザーのコンピュータ上で任意のファイルを実行するのに悪用可能な「Google Desktop」のセキュリティホールから、ユーザーの電子メールにアクセスしたり、データを消したりすることができる「Gmail」のXSS脆弱性まで、さまざまなものが確認されたという。

 Google Desktopの脆弱性を発見した人物がウェブに掲載した詳細によると、同脆弱性を悪用した攻撃はいわゆる中間者攻撃(MITM)で、ユーザーにあるGoogle Desktop検索結果をクリックさせるコードを挿入するのだという。

 つい先日見つかったGmailにおけるXSS脆弱性は、わたし個人の考えでは、Google Desktopのセキュリティホールより深刻と思われる。これを悪用すると、攻撃者は標的ユーザーに悪質なウェブサイトを閲覧させ、同ユーザーのGmailセッションを乗っ取ることができる。もっともGoogleは、同脆弱性が公になった直後にすみやかな修復を行っている。

 最近発見されたセキュリティホールの中で最も興味深いのは、ウェブ運営者がページの削除を依頼する際に使用するツールの欠陥だ。この脆弱性により、攻撃者はディレクトリツリーを参照して、本来は隠されているはずのGoogleサーバ上のファイルを見ることができてしまう。例えばハッキングサイト「0×000000」は、あるファイルをダウンロードしただけで、Googleデータベースの1つのルートパスワードを特定できたそうだ!

(Garett Rogers)

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR