『Gmail』と『IE』に新たな脆弱性、Cenzic が指摘

この記事のURLhttp://japan.internet.com/webtech/20071218/10.html

セキュリティベンダの Cenzic は、Google の『Gmail』および Microsoft の『Internet Explorer』(IE) に新しい脆弱性が見つかったとして警告する勧告を発表した。

この脆弱性が悪用された場合、クロスサイト リクエスト フォージェリ (CSRF) およびクロスサイト スクリプティング (XSS) 攻撃によりユーザー情報が詐取される危険性があるという。

Cenzic によると、Gmail の場合、添付ファイルを表示するアドレスに CSRF が存在しているという。一方、IE ではキャッシュの生成過程に問題があり、XSS 攻撃に結びつく恐れがあると同社では述べている。この場合、同じ PC 上の共有アカウントを通じて、ユーザーのキャッシュが悪用される恐れがあるとのことだ。

Google は今回の勧告に関する取材に対し、Eメールで次のように回答した。「Google はセキュリティ問題に真摯に対処しており、検証により確認可能なものについては、問題の解決に向けて速やかに対応するつもりだ。検討に値する問題に関して適切な報告を受けた場合、当社はすべての報告を確認し、リソースを割り当てて調査を行ない、できるだけ速やかに潜在的な問題の解決に向けて動くよう、最大限の努力を払っている」

さらに Google は、この回答の中で Cenzic が今回の勧告で述べた問題を重要視していないと述べている。

Google は以下のように主張している。「この場合、共有コンピュータを使用する悪意あるユーザー (管理ユーザー権限を持たない場合も含む) は、その後同じマシンを使用するすべてのユーザーを対象に、環境を悪意あるものに変更 (この場合にはローカル ブラウザのキャッシュ データを改変) できる。しかし、これは Gmail または Google 製品に特定されるものではない。悪意あるユーザーは、より直接的な方法、例えばユーザーモードのキーロガーをインストールするなどの手段で、いくらでも共有コンピュータを悪用できる」

Microsoft のセキュリティ レスポンス責任者である Mark Miller 氏は、IE における脆弱性の問題について新たな報告が公開された場合、Microsoft は調査を行なうと述べた。ただし、Microsoft も Google と同様に、Cenzic が勧告した脆弱性はそれほど深刻ではないとしている。

Miller 氏は Eメールによる回答で「指摘されている脆弱性を用いようとした攻撃、あるいは顧客に対する影響について、報告は受けていない」と述べている。