倫理的ハッカーであるPetko Petkov氏が、「Gmail」のクロスサイトスクリプティング脆弱性を発見したと発表した3日後、Googleはこの問題を修正したと述べた。
Google Australiaの広報担当者は現地時間9月28日、「最近報告のあった脆弱性について迅速に対応し、修正を加えた」と述べた。
Petkov氏が発見し、ウェブサイトGNUCitizenに投稿した脆弱性は、ユーザーがGmailアカウントにログイン中に悪質なリンクをクリックすると、攻撃者がセッションクッキーの制御を得る危険性があるというものである。
侵入テスト企業であるPure HackingのChris Gatford氏の26日の説明によると、この状態において攻撃者は、攻撃を受けたアカウントの電子メールを別のPOPアカウントに抜き取ることができるという。
Gatford氏は、「Googleが修正する前に誰かがこれを利用したり、あるいはPetkov氏が公表する前にこの脆弱性を知っていた者がいたりした場合には、Gmailユーザーに多大な被害が及ぼされる可能性がある」と述べた。
しかしGoogleの広報担当者は、同社はこの脆弱性が利用されているという報告を1件も受けていないと述べ、「Googleは、ユーザー情報のセキュリティを非常に重要に扱っている」と付け加えた。
Pure HackingのGatford氏は、クロスサイトスクリプティング脆弱性は、攻撃者の間でよく利用されるようになってきており、多くの組織はこの問題を軽視していると述べた。
Gatford氏は、「この1年ぐらいの間、(クロスサイトスクリプティング脆弱性は)攻撃者がクッキー設定値を取得し、それにより普通にパスワード保護されたサイトへのアクセスを得るために利用されている」と述べた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス