| アドバイス情報 - webmasterさんのエントリ |
2016/09/05
|
Googleがログインページの脆弱性を指摘されるも「問題なし」として放置することに決定
執筆者: webmaster (11:18 am)
|
セキュリティ専門家のエイダン・ウッズ(Aidan Woods)氏がGoogleのログインページからマルウェアに感染する恐れのある脆弱性を発見、Googleのセキュリティチームに報告したのですが、Googleから「セキュリティバグとして追跡しないことに決定しました」という返答があったことがウッズ氏のブログで報告されています。 ウッズ氏が発見したGoogleのログインページの脆弱性は、Googleのアプリやサービスにログインした後に別のページにリダイレクトさせられるというもの。 リダイレクトされるページは「google.com」のドメインの範囲内に限られますが、GoogleドライブやGoogleドキュメントなどにマルウェアを設置すれば、「drive.google.com」「docs.google.com」といったGoogleのサブドメイン下でマルウェアのダウンロードページを表示できるとのこと。 ウッズ氏はこの脆弱性を突けばマルウェアをダウンロードさせることや、Googleのログイン情報を盗み取ることができると主張しており、Googleのセキュリティチームにバグ報告を行いました。これを受けたGoogleはこの問題について調査しましたが、「オープンリダイレクターの仕組みで対処できているので問題ない」として特別な対処は行わない旨をウッズ氏へ返信。 ウッズ氏はセキュリティ専門家として脆弱性が存在する状態で詳細を公開するべきか迷っていたものの、Googleの対応を「問題を正しく認識していない」と考え、情報公開によってGoogleが改めて問題に対処してくれることを期待してブログの公開に踏み切ったそうです。 ソース Gigazine http://gigazine.net/news/20160901-google-faulty-login-page/ |
このエントリのトラックバックURL
http://www.y-pca.jp/modules/weblog/weblog-tb.php/234
投稿された内容の著作権はコメントの投稿者に帰属します。
