www.google.comにクロスサイト・スクリプティングのぜい弱性，米Watchfireが報告

IT Pro

2005.12.22

　米Watchfireは，米GoogleのWebサイト「www.google.com」にクロスサイト・スクリプティング（XSS）攻撃を許すぜい弱性が存在していたと，米国時間12月21日に発表した。Watchfire社は「フィッシング攻撃に使われる恐れがあった」としている。

　このぜい弱性は，www.google.com内のエラー表示Webページを悪用すると，文字コードUTF-7によってエンコードされたスクリプトを実行できてしまうというもの。Watchfire社が11月15日に発見してGoogle社に報告した。Googole社は12月1日に修正を施し，現在は解決済みだ。

　同サイトには，Webアクセス要求をリダイレクトする際に発生したエラーを表示する「Forbidden」（403エラー）ページと，存在しないWebページへのアクセスに対するエラーを表示する「Not Found」（404エラー）ページが用意されている。Watchfire社によると，本来は文字セットのエンコーディングを強制的に指定するべきなのに，両ページでは指定していなかったという。

　Watchfire社は「両ページにはXSS攻撃でよく悪用される『<』『>』『'』といった文字を読み飛ばす仕組みが入っていたにもかかわらず，危険なスクリプトがUTF-7でエンコードされていると処理に失敗する」と指摘した。このためWebブラウザはエラー・ページを表示せず，スクリプトを実行してしまう。

　Google社は，エラーページでエンコーディングを明示的に指定することで，このXSS攻撃を行えないように対処した。