japan.internet.comThe Internet & IT Network
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年7月4日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
Webテクノロジー2004年12月21日 00:00

Google、デスクトップ検索ツールの脆弱性を修正

海外海外internet.com発の記事
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Google は20日、ベータテスト中のデスクトップ検索ツール『Google Desktop Search』に、ローカルファイルの検索結果をクラッカーが盗み見る恐れのある脆弱性が見つかり、これを修正したことを明らかにした。

同脆弱性は、Rice 大学のコンピュータ サイエンス学部に所属する Dan Wallach 氏、Seth Nielson 氏、Seth Fogarty 氏の3名が発見して、11月に Google へ通知したものだ。3名は、この問題に関する報告書『Attacks on Local Searching Tools』(PDF ファイル) を公開した。

Google のデスクトップ検索プログラムは、ローカル Web サーバーを構築するが、ユーザーが検索機能にアクセスできるのは、「localhost」または IP アドレス「127.0.0.1」への接続のみだ。

しかし Google は Web 検索との統合を図るため、ユーザーが同社の検索サイト上で Web 検索を実施した際、デスクトップ検索の結果も同時に表示する機能を、Google Desktop Search に実装している。

脆弱性を発見した3名は、ローカル上で動作する複数のエージェントによって行なった、Google の Web サーバーに対するどんな HTTP リクエストでも、このデスクトップ検索および Web 検索の統合動作が機能することを見出した。後は Google の Web 検索を行なったと思わせることができれば、Google Desktop Search は自動的にデスクトップ検索の結果を挿入してしまうことになる。

統合表示するデスクトップ検索結果には、ローカルファイルの内容を抜粋した文章が付くため、ローカルファイルを直接晒すわけではないとはいえ、ファイルの一部は攻撃者に漏れてしまう。

こうしたファイル内容の断片データは、Web サイトで必要なパスワードのリストなど、重要な情報を含む可能性があると、発見者は記している。

例えば、問題の脆弱性を悪用する Java アプレットなどを備えた悪質サイトにアクセスすると、そのプログラムは Google の Web サイトに接続していると Google Desktop Search を騙して、統合表示動作を行なわせ、その結果、悪質サイトはデスクトップ検索結果を入手できるという。

Google の広報担当によると、脆弱性はすでに修正済みで、先週から更新版の提供を始めているという。Windows の自動更新と同様に、Google Desktop Search も自動的に更新をダウンロードし、インストールすることが可能だ。

バージョン情報については、タスクトレイの Google Desktop アイコンメニューから、「About」を選択して確認できる。Rice 大学のセキュリティ情報によれば、バージョン番号が2004年12月10日版を示す「121004」以降なら、今回の脆弱性に対応済みという。

関連テーマ
このエントリーを含むはてなブックマーク この記事をクリップ!
BuzzurlにブックマークBuzzurlにブックマーク Yahoo!ブックマークに登録
この記事をokyuuへインポート
最新トップニュース
データメーション
【データメーション】
中国が「Green Dam」フィルタ規制を撤回(7月1日)
Graphic Design Forum
【Graphic Design Forum】
Chris Dickman(6月25日)
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
グーグル・ストリートビューの問題について総務省の見解(6月23日)
エンジニアの独り言
【エンジニアの独り言】
システムを「使う」時代のエンジニアに求められるもの(6月2日)
最新ハイテク講座
最新ハイテク講座
電気は家庭でつくる時代へ!燃料電池「エネファーム」(7月3日)
アクセス解析で見るWebマーケティング
アクセス解析で見るWebマーケティング
決定力を探るアクセス解析(7月3日)
百式のネットビジネス研究
百式のネットビジネス研究
ファーストフードを高級っぽく盛り付けて紹介している「Fancy Fast Food」(7月3日)
週刊-サイト別アクセス状況データ
週刊-サイト別アクセス状況データ
ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)(7月2日)
成約率、反応率を上げる Web 文章術
成約率、反応率を上げる Web 文章術
言葉がダイレクトにキャッシュを生む(7月2日)
不況時代の Web ビジネス最適化講座
不況時代の Web ビジネス最適化講座
アクセス解析エキスパートここだけの話、Web コンシェルジュの“勉強法”こっそり教えます(7月2日)
「Webからの脅威」―その傾向と最新対策
「Webからの脅威」―その傾向と最新対策
不正プログラムの分類(7月1日)
DevX
DevX
JavaScriptとDOMによる動的なWebページの作成(6月30日)
エンジニア転職ノウハウ開発室
エンジニア転職ノウハウ開発室
今のままで大丈夫?3匹の子ブタ的キャリア危険度診断(6月30日)
アイレップの SEM フロンティア
アイレップの SEM フロンティア
Web サイトは「無駄な穴のたくさん開いたじょうご」〜サイト成果向上の基本的な考え方(6月30日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/