米Googleが先頃ベータ公開したツールバーの最新版「Google Toolbar 5 for IE」(関連記事:IE対応の「Google Toolbar 5」ベータ版が公開,Gadgetsを手軽に登録)に,偽装情報表示の脆弱性が見つかった。セキュリティ研究者のAviv Raff氏が米国時間12月18日に自身のブログで明らかにしたもので,ユーザーは不正なボタンをGoogle Toolbarに追加してしまう可能性がある。

 この脆弱性を悪用すると,ユーザーがGoogle Toolbarにボタンを追加する際に,信頼のおけるドメインに見せかけた情報をダイアログに表示し,マルウエアをダウンロードしたりフィッシング攻撃をしかけたりする機能を持ったボタンを登録させることが可能になる。

 Raff氏によると,IE対応Google Toolbar 5ベータ版のほか,IEおよびFirefox向けの「Google Toolbar 4」も影響を受ける。

 同氏はこの問題をGoogleに通知しており,Googleは修正に取り組んでいるという。

 また,ルーマニアのウイルス対策会社Bitdefenderは,米Googleの広告を狙った新たなトロイの木馬「Trojan.Qhost.WU」を検出したとして,現地時間12月18日に警告を発した。Trojan.Qhost.WUはWebサイトに掲載されているGoogleのテキスト広告を乗っ取り,第三者が配信する広告に差し替える。

 差し替えられた広告には悪質なソフトウエアが含まれている危険性があるほか,ユーザーをマルウエア感染目的のWebページに誘導する可能性がある。

 英メディアの報道(Reuters)によると,Googleは対策として,悪質なWebサイトまたは同社ソフトウエア原則に違反するサイトへユーザーを誘導する広告を掲載している顧客アカウントを取り消したという。

[Aviv Raff氏のブログ投稿記事]
[Bitdefenderのプレス・リリース]