Google SpreadsheetのXSS脆弱性が明らかに

　セキュリティ専門家Bill Rios氏は米国時間4月14日、Google Spreadsheetを利用したクロスサイトスクリプト（XSS）攻撃により、 Googleの全サービスが無防備になると発表した。XSSは利用者が入力したデータを正しくフィルタリングしていない合法サイトを利用した攻撃法で、攻撃者に悪意ある命令を実行される恐れがある。しかし、今回のケースでは、いずれかのxxxx.google.comサイトへのアクセス情報が漏れれば、Gmail、Docs、CodeなどのGoogleサービスへのアクセスにも影響が及ぶ。

　GoogleはCNET News.comに電子メールを寄せ、「当社は利用者にかかわる情報の安全を極めて重視している。この脆弱性については速やかに対処し、公表される前に改修した。今のところ、この脆弱性が悪用された報告は受けていない」と述べ、Rios氏が公表した脆弱性は改修済みであると述べた。

　同氏によると、Internet Explorerを使ってGoogle Spreadsheetを利用する際、サーバから戻されるHTTPレスポンスのコンテンツタイプを変更できたという。問題は、ある環境下でブラウザがコンテンツタイプヘッダを無視する点にある。同氏は、いかなるブラウザも条件によってはコンテンツヘッダを無視することがあり、したがってこれはGoogleだけの問題ではないと指摘した。

　同氏のブログによると、Google Spreadsheetで最初のセルにalert (document.cookie)というスクリプトをHTMLタグで囲んで入力したという。これを保存して、CSVファイル形式のファイルとしてダウンロードしようとすると、コンテンツタイプはtext/plainとなる。文字列にHTMLが含まれているため、Internet Explorerはそれに基づき入力内容をHTMLとして解釈してしまうという。

　したがって、一般のユーザーがこのURLを開いてしまうと、攻撃者のディスプレイにはalertダイアログボックスが表示され、ユーザーがそのとき利用していたGoogleセッションの情報が表示される。もしこのセッションクッキーはユーザーが利用するGmailやDocsなどのGoogleサービスでも有効だ。