米Watchfireは米国時間2月21日,米Googleのデスクトップ検索ソフト「Google Desktop」のぜい弱性を発表した。攻撃者による個人情報へのアクセスのほか,パソコンを乗っ取られる危険があったという。同社はこのセキュリティ・ホールをGoogleに報告しており,Googleはすでにパッチを配布している。

 このぜい弱性は,Google Desktopと同社の検索サイト「Google.com」が緊密に連携していることに加え,同ソフトが特定の文字列を含むアウトプットを適切にエンコードできていなかったことに起因する。攻撃者はJavaScriptを用いて,Office文書や電子メール,メディア・ファイルなどにアクセスできたという。

 Watchfire設立者兼CTO(最高技術責任者)のMichael Weider氏は,「Webインタフェースを持つデスクトップ向けアプリケーションに,クロスサイト・スクリプティング攻撃が仕掛けられると被害は甚大だ。このためWebアプリケーションは,セキュリティを包括的かつ継続的に監視することが重要」と指摘している。

 米メディア(InternetNews)によると,Googleは2006年12月から2007年1月にかけて,Webメール・サービス「Gmail」と有料広告サービス「AdWords」に関するぜい弱性を修正したばかりという。

[発表資料へ]