Cenzic によると、Gmail の場合、添付ファイルを表示するアドレスに CSRF が存在しているという。一方、IE ではキャッシュの生成過程に問題があり、XSS 攻撃に結びつく恐れがあると同社では述べている。この場合、同じ PC 上の共有アカウントを通じて、ユーザーのキャッシュが悪用される恐れがあるとのことだ。
Google は今回の勧告に関する取材に対し、Eメールで次のように回答した。「Google はセキュリティ問題に真摯に対処しており、検証により確認可能なものについては、問題の解決に向けて速やかに対応するつもりだ。検討に値する問題に関して適切な報告を受けた場合、当社はすべての報告を確認し、リソースを割り当てて調査を行ない、できるだけ速やかに潜在的な問題の解決に向けて動くよう、最大限の努力を払っている」
さらに Google は、この回答の中で Cenzic が今回の勧告で述べた問題を重要視していないと述べている。
Google は以下のように主張している。「この場合、共有コンピュータを使用する悪意あるユーザー (管理ユーザー権限を持たない場合も含む) は、その後同じマシンを使用するすべてのユーザーを対象に、環境を悪意あるものに変更 (この場合にはローカル ブラウザのキャッシュ データを改変) できる。しかし、これは Gmail または Google 製品に特定されるものではない。悪意あるユーザーは、より直接的な方法、例えばユーザーモードのキーロガーをインストールするなどの手段で、いくらでも共有コンピュータを悪用できる」
Microsoft のセキュリティ レスポンス責任者である Mark Miller 氏は、IE における脆弱性の問題について新たな報告が公開された場合、Microsoft は調査を行なうと述べた。ただし、Microsoft も Google と同様に、Cenzic が勧告した脆弱性はそれほど深刻ではないとしている。
Miller 氏は Eメールによる回答で「指摘されている脆弱性を用いようとした攻撃、あるいは顧客に対する影響について、報告は受けていない」と述べている。
(E-コマース 7月25日 18:00)
EPM Summit 8月27日開催 at 東京
