【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
グーグルのWebアプリ、XSS攻撃のターゲットに
すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告
(2008年04月17日)
米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。
同脆弱性を発見したセキュリティ研究者のビリー・ライオス(Billy Rios)氏によると、これは、ユーザーのコンピュータ上で悪質なコードを実行するクロスサイト・スクリプティング(XSS)を可能にするもので、現在(日本時間4月17日)は修正されているという。しかしRios氏は、「SaaS(Software as a Service)の普及拡大に伴い、今後も同様の問題が発生する可能性がある」と指摘している。
「GoogleのWebアプリケーションの認証プロセスは、構造上、1回のXSS攻撃で、特定ユーザーが利用しているGoogleのWebアプリケーションや、保存している文書など、すべてにアクセス可能となる。もちろん、Gmailも例外ではない」(Rios氏)
同脆弱性に対する攻撃は、「Internet Explorer(IE)」を利用してWebサーバにアクセスし、Webサーバから返されるコンテンツ・タイプをIEが判断する際、一定の条件下によってはコンテンツ・タイプ・ヘッダを無視するという構造を悪用するものだ。Rios氏によると、「Firefox」や「Opera」、「Safari」などのWebブラウザでも、同様の問題が発生する可能性があるという。
「(Webアプリケーションの)開発者は、一般ユーザーが利用しているこれらのWebブラウザに、コンテンツ・タイプ・ヘッダの処理方法の違いがあることを理解する必要がある。さもないと、WebアプリケーションをXSSの危険にさらすことになる」(Rios氏)
ちなみにRios氏は最近、Google Codeの脆弱性も指摘している。これはパスワードの盗難を引き起こす脆弱性だったが、すでにGoogleは同脆弱性を修正している。
Googleは3月31日、Google Spreadsheetsを含む「Google Apps」に、オフラインでもアプリケーションを利用できる機能を追加した。同社は発表後三週間以内に、ドキュメント作成アプリケーションの全ユーザーが、オフラインでも文書を閲覧/編集できるようにするとしている。
また同時にGoogle Docsに包含されているスプレッドシート・アプリケーションにも、オフライン閲覧機能が追加されるという。ただし、オフライン編集機能は、オフライン閲覧機能のあとに追加される予定だ。
一方、同じくGoogle Docsに包含されているスライド・プレゼンテーション作成アプリケーションには当面、同機能は追加されない。なお、「Google Apps」に包含されている「Gmail」、「Google Talk」、「Google Calendar」など、そのほかのサービスも、将来的にはオフラインで利用できるようになるという。
(Matthew Broersma/Techworld.com)
[米国]グーグル、「Google Docs」にオフライン・アクセス機能を追加
「Webホステッド・アプリの課題を1つクリア」と専門家は評価
[世界]Google Toolbarで脆弱性発覚、データ盗難に遭うおそれも
専門家は「Googleのずさんな仕事ぶりが原因」と指摘
[米国]グーグル、GmailとDocs & Spreadsheetsの連携を強化へ
マイクロソフト「Office」を凌駕するコラボレーション機能を提供
[米国]「Google Desktop」に深刻な脆弱性――グーグルは修正版を配布
「Googleサイトとの連携機能を改良すべき」と専門家
