グーグル、Grand CentralとGoogle.com関連のセキュリティ問題2件を修正

　Googleは米国時間6月2日、同社の電話管理サービスGrand Centralに関連した脆弱性と、ウェブサイトGoogle.comに関連する脆弱性を修正したと発表した。

　Googleは、Grand Centralのログインページ上のクロスサイトスクリプティングの脆弱性を修正した。Grand Centralは、複数の電話番号を1つの電話番号にまとめたり、ボイスメールをまとめて管理できるサービスを提供している。

　クロスサイトスクリプティングの脆弱性は、ウェブアプリケーションで発見されることが最近多くなっている。こうしたウェブアプリケーションでは、悪意あるコードがウェブページに仕組まれ、同サイトを訪れたユーザーへの攻撃に利用される恐れがある。

　この件について、Googleの広報担当は次のように述べている。「この問題は今朝、われわれ（および他のすべての人々）に報告された。われわれは、報告を受けた直後に問題を修正した」

　この脆弱性は、Full Disclosureと呼ばれるセキュリティ関連のメーリングリストに投稿されたが、Googleには事前に報告されていなかった。つまり、Googleは、何者かがその脆弱性を突くエクスプロイトを作る前に、早急にその問題を修正する必要があったわけだ。

　また別のセキュリティ問題で、Googleは、一見Google.comドメインに行くように見せかけて実際は別のサイトにリダイレクトする、いわゆるスプーフィング（なりすまし）サイトの作成を可能にする脆弱性を修正した。そのようなリダイレクトリンクは、通常電子メールを介してばらまかれる。リダイレクトの目的としては、人々を悪意あるコードを仕込んだサイトに誘導し、そのコードを使って訪問者のコンピュータを攻撃したり、危険にさらすというものが多い。

　Googleは同時に、同社のオンライン広告部門であるDoubleClickのサイトに関連するリダイレクトの脆弱性の修正にも取り組んでいた。

　Googleの広報担当者は、「われわれは、オープンURLリダイレクションの問題を真摯に受け止めている。google.comドメインを利用するオープンURLリダイレクタの存在に気付いたら、積極的にそれらの閉鎖に取り組んでいる。また、われわれはdoubleclick.comドメインを使用するリダイレクタの存在も把握しており、その問題にも取り組んでいる」と述べている。

　この問題は、Sunbeltブログ上で報じられた。