|
|
| Webテクノロジー | 2007年12月22日 12:00 |
|
『Google Toolbar』用ボタンのダウンロードにご用心 著者: Andy Patrizio オリジナル版を読む ▼2007年12月22日 12:00 付の記事 ■海外internet.com発の記事 あるセキュリティ研究者が、『Google Toolbar』に関して新たな脆弱性を発見した。これは、クラッカーが正規の Google Toolbar 用ボタンをインストールするように見せかけ、実際には悪質コードをインストールするおそれがあるというものだ。 Aviv Raff 氏が18日に自らの Blog で述べたところによると、Google Toolbar のカスタムボタン インストール ダイアログボックスにおいて、ボタンの提供元を偽った表示が可能で、ユーザーはボタンが信頼できるドメインから提供されたものだと思いこんでしまうという。同氏が示した例では、Google Toolbar に『The New York Times』紙提供のボタンをインストールするように見える。 しかし実際には、こうしてインストールした Google Toolbar 用ボタンをクリックすると、悪質コードが呼び出され、知らぬ間にそのコードがユーザーのコンピュータにインストールされる。Raff 氏によると、この脆弱性が存在するのは『Google Toolbar 5 beta for Internet Explorer』『Google Toolbar 4 for Internet Explorer』で、また『Google Toolbar 4 for Firefox』でも部分的に影響を受けるという。 Google の広報担当は取材に対し、「当社はユーザーのセキュリティについて、非常に真摯に受けとめている。われわれはこの問題について既に報告を受けており、現在その解決に取り組んでいる」とだけ述べた。 セキュリティ製品を手がける Secure Computing の技術エバンジェリズム担当副社長 Paul Henry 氏によると、Google がすべきことは2つあるという。1つは、正当なアプリケーションに見えるため、誰にもなりすますことができないようにすることで、2つめは確実にボタンがコードをダウンロードできないようにすることだ。 「公のインターネットのどこであれ、オペレータの介入なしに、ボタンによって実行コードのダウンロードが発生することを正当化する理由はない。恐らく、Google Toolbar 用ボタンについては署名処理が必要だろう」 また同氏は、Google が問題を解決するまで「常識が最大の防御となる。明確な信頼の置けないどんなサイトからも、一切の Google Toolbar 用ボタンをインストールしてはならない」と語った。 |
| トップページ | 画面トップ |
|
||
|
||
|
