Google、『AdWords』の脆弱性を修正

この記事のURLhttp://japan.internet.com/webtech/20061218/11.html

Google (NASDAQ:GOOG) が広告用プログラム『Google AdWords』に存在する脆弱性を修正していたことが明らかになった。これは、クロスサイト スクリプティングを招きかねないものだったが、Google が迅速に対処したことを知って、AdWords の広告主は今週末も枕を高くして眠れそうだ。

AdWords は Google の主な収入源であり、広告主にクリック保証型またはインプレッション保証型の広告を販売するとともに、Web サイトの運営者に対してアフィリエート プログラムを提供している。

問題となったのは、HTTP レスポンス分割が可能となる脆弱性で、Google AdWords の広告主に対するクロスサイト スクリプティング攻撃、サイトの改ざんや乗っ取りなどの攻撃を招きかねなかった。

セキュリティ研究者 Debasis Mohanty 氏 が公開した脆弱性の説明によると、HTTP レスポンス分割の脆弱性は、サーバが HTTP ヘッダーの値として受け取ったユーザー入力から CRLF (改行コード) の除去が適切に行なわれていない場合に生じるという。攻撃者はこの脆弱性を突いて、CRLF インジェクションにより、通常1つしか返ってこない HTTP レスポンスを2つ引き出すことができる。

Mohanty 氏は11月20日、この脆弱性をゼロデイ攻撃の可能性があるとして公表する前に、まず概念実証コードを添えて Google に報告した。

Google は、報告の翌日には脆弱性の存在を確認したが、Mohanty 氏がこの件について明らかにしたのは12月14日で、そのときには Google は既に修正を完了していた。

Google 広報担当の Barry Schnitt 氏は声明の中で次のように述べている。「Google はこの問題について警告を受け、修正するために迅速な行動をとったため、脆弱性の存在が公表される前に解決できた。この脆弱性が悪用されたという報告は受けておらず、責任あるルールに則って脆弱性を公開した報告者を賞賛する」