米国立標準技術研究所(NIST:National Institute of Standards and Technology)は現地時間11月26日,米Googleの検索アプライアンス「Google Search Appliance」にクロスサイト・スクリプティング(XSS)の脆弱性が見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。
Google Search Applianceとは,ハードウエアと検索ソフトウエアを組み合わせたアプライアンス製品。イントラネットや外部向けWebサイト内のコンテンツをインデックス化して,Googleサイトで提供されている検索エンジンと同等の検索機能を提供する。
NISTでは脆弱性の詳細を明らかにしていないが,UTF-7でエンコードされた文字の処理に問題があるという。このため,細工が施されたリンクをユーザーがクリックすると,Google Search Appliance経由で,悪意のあるHTMLやスクリプトをユーザーのブラウザに送り込まれる恐れがある。
例えば,Google Search Applianceを採用している企業・組織のWebページ上に偽のコンテンツを表示させて,フィッシング詐欺をおこなうことなどが可能となる(関連記事:「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」)。
発見者から提供された検証コードを使って,NISTがいくつかのサイトを調べたところ,米政府のサイトや有名大学のサイトにも,今回の脆弱性が存在することが確認できたとする。
なおGoogleでは,今回の脆弱性の回避策を顧客に通知済みであるという。
