グーグル、Google Readerのセキュリティ脆弱性を修正

　Googleは米国時間7月5日、ユーザーの個人情報窃盗を誘発する危険性のある、「Google Reader」のセキュリティ脆弱性を修正したと発表した。

　セキュリティ関連情報サイトHa.ckers.orgに書き込まれた7月4日付けの投稿によると、Google Readerにはクロスサイトスクリプティングの脆弱性が存在したという。クロスサイトスクリプティングとはウェブ上の投稿フォームや入力フィールドに悪質なHTMLスクリプトを埋め込むことによって攻撃する手法。

　「（これを悪用した）攻撃はGoogleにとって何を意味するか」と投稿記事は疑問を投げかけている。「まずPCの初心者向けに、Googleで『Google World Betaの登録』を呼びかけるフィッシングサイトを仕掛けることができる。それから、クッキーに保存されたログイン情報を盗み、ユーザーになりすますことができる。（中略）Google Send to Phoneから電話番号を盗み取り、さらにmaps.google.comから住所を知ることだって可能だ。まだまだ脆弱性の悪用の仕方はいくらでもある。Googleがポータルとしてのエクスペリエンスを高めるにつれて、脆弱性も成長していく」

　Googleは5日夜、このような声明を発表した。「われわれは5日、Google Readerに関する深刻度の低いセキュリティ脆弱性を確認した。早急にこの脆弱性に対応し、現在は修正されている。脆弱性の報告が、脆弱性開示の慣行に従って責任を持って行われることを望んでいる。脆弱性を報告する場合は、情報を一般に公開する前にまず、ベンダーに通知してもらいたい」