2008年04月17日(木) 22時37分
グーグルのWebアプリ、XSS攻撃のターゲットに(Computerworld.jp)
米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。
同脆弱性を発見したセキュリティ研究者のビリー・ライオス(Billy Rios)氏によると、これは、ユーザーのコンピュータ上で悪質なコードを実行するクロスサイト・スクリプティング(XSS)を可能にするもので、現在(日本時間4月17日)は修正されているという。しかしRios氏は、「SaaS(Software as a Service)の普及拡大に伴い、今後も同様の問題が発生する可能性がある」と指摘している。
「GoogleのWebアプリケーションの認証プロセスは、構造上、1回のXSS攻撃で、特定ユーザーが利用しているGoogleのWebアプリケーションや、保存している文書など、すべてにアクセス可能となる。もちろん、Gmailも例外ではない」(Rios氏)
同脆弱性に対する攻撃は、「Internet Explorer(IE)」を利用してWebサーバにアクセスし、Webサーバから返されるコンテンツ・タイプをIEが判断する際、一定の条件下によってはコンテンツ・タイプ・ヘッダを無視するという構造を悪用するものだ。Rios氏によると、「Firefox」や「Opera」、「Safari」などのWebブラウザでも、同様の問題が発生する可能性があるという。
「(Webアプリケーションの)開発者は、一般ユーザーが利用しているこれらのWebブラウザに、コンテンツ・タイプ・ヘッダの処理方法の違いがあることを理解する必要がある。さもないと、WebアプリケーションをXSSの危険にさらすことになる」(Rios氏)
ちなみにRios氏は最近、Google Codeの脆弱性も指摘している。これはパスワードの盗難を引き起こす脆弱性だったが、すでにGoogleは同脆弱性を修正している。
(Matthew Broersma/Techworld.com)
■関連キーワード
米国Google │
セキュリティ │
脆弱性 │
Webブラウザ │
Web 2.0
■関連記事
[米国]グーグル、「Google Docs」にオフライン・アクセス機能を追加(2008年04月01日)
[世界]Google Toolbarで脆弱性発覚、データ盗難に遭うおそれも(2007年12月19日)
[米国]グーグル、GmailとDocs&Spreadsheetsの連携を強化へ(2007年05月17日)
http://headlines.yahoo.co.jp/hl?a=20080417-00000007-cwj-secu