Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ




 米GoogleのWebメールサービス「Gmail」に、他人のメールを盗み見できてしまう脆弱性が報告された。Googleをめぐっては、このほかにも複数のサービスでゼロデイの脆弱性情報が公開されている。

 Gmailの脆弱性情報は、ハッカーサイトの「GNUCITIZEN」などで公開された。同サイトによれば、この問題を悪用するとクロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛け、Gmailアカウントにバックドアをインストールして会話をすべて盗み見することができてしまうという。

 ユーザーがGmailにログインした状態で悪質サイトを閲覧すると、バックドアがインストールされ、被害者のフィルタリストに新しいフィルタが作成される。例えば、添付ファイルが付いたメールを自動的に別のメールに転送するフィルタを作成することが可能だという。

 この攻撃は非常に悪質であり、ユーザーが被害に気付くことはまずあり得ないとGNUCITIZENは指摘。もしGoogleがこの脆弱性を修正したとしても、被害者のフィルタリストにこのフィルタがある限り、攻撃は続くとしている。

 Googleサービスをめぐっては、企業向け検索アプライアンス「Google Search Appliance」の脆弱性情報が公開されたほか、ブログサービスの「Blogspot」、写真共有サービス「Picasa」の脆弱性やコンセプト実証(PoC)コードが公開されたとの情報もある。

(2007.9.26/ITmediaエンタープライズ)
[PR]

by fbitnews2006-6 | 2007-09-26 19:32 | インターネット総合  

<< 子供のネット利用、保護者は「心... 「厚型」テレビで地デジを見る。... >>