--.--.--

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


2007.02.23

グーグル、Google Desktopの脆弱性を修正--データ盗難を誘発する恐れ

Google Desktopというツールに不具合が発見され、外部からローカルマシン上のファイルが閲覧される恐れがあると報道された。

Watchfireのセキュリティリサーチ担当ディレクターDanny Allan氏によると、攻撃者はクロスサイトスクリプティングの脆弱性を悪用すれば、Google Desktopの機能を本来の機能とは違う目的に利用できるという。同氏はGoogle Desktopについて、Googleのインターネット検索であるGoogle Searchと連携していることが弱点であると付け加えた。そのためWatchfireが発見した脆弱性は、情報保護システムにも、アンチウイルスソフト ウェアにも、ファイアウォールにも検出されずに悪用可能だったという。
CNET Japan 2007/02/22 11:39
文:Candace Lombardi(CNET News.com)
翻訳校正:編集部

Google Desktopというツールがどのようなものかについても、上記の記事の中に端的に説明してある。
Google Desktopでは、Googleの検索エンジン技術を利用して、ローカルマシンやネットワーク上のマシンに保存されているデータを検索する。マシン上の電子メール、ドキュメント、ファイルを読み取ってインデックスを作成するほか、ウェブページを保存する。

つまり、例えばハードディスクに保存してあるファイルの内容をGoogle Desktopというツールが精査し、一塊の単語ごとに索引(インデックス)を作る。ユーザーは、GoogleでWEBサイトを検索するように、ローカルのハードディスクに保存してあるファイルを検索することができるようにするものだ。

利用してみるとわかるが、このツールは大変有用なものだ。
特に、各種の文書資料を蓄積し、それらを利用することによって文章コンテンツを作成する者にとっては、非常に重宝する。

しかし、従来から危うさを秘めているとも思っていた。
Google Desktopが作成するインデックスファイルを、外部から参照することができれば、どのような内容の文書がどのディレクトリに保存されているから丸見えになってしまうからだ。

今回の報道は、まさにこの危惧が顕在化したものといえよう。

Googleは、この問題に対処するため、既に修正パッチをリリースし、修正されたバージョンのGoogle Desktopを公表している。

今後も、このような脆弱性が発見されるかもしれない。

この点、上記の記事は
 もっとも、Allan氏はクロスサイトスクリプティング攻撃に対する脆弱性が解消されたわけではないと指摘する。これは、Googleのウェブ サーバとローカルマシン上のGoogle Desktopをリンクするという「アーキテクチャの設計上の問題」に起因するという。

利便性と危険性は表裏の関係にあるとはいえ、リスクの高さを考えると、利用を控えざるをえないのだろうか。

この記事に関する他のブログ記事は↓
最新!煌めく話題、燃ゆる日記。
復活!ヒロイもんのダウンロード三昧
ニュースの枝

この記事へのトラックバックURL
http://hirotakataki.blog54.fc2.com/tb.php/78-e9a7253b
この記事へのトラックバック
Common Gateway Interface|CGIやActive Server Pages|ASPなどのウェブアプリケーション側の不備を利用し、JavaScriptなど、クライアントサイドで実行されるスクリプトを実行する。フォームなどから入力された情報を表示するサイトがあり、このサイトでは以下のようなWebペー
インターネットを集める | インターネットを集める at 2007.04.20 17:11
クロスサイトスクリプティングクロスサイトスクリプティング(Cross Site Scripting)とは、動的にWebページを生成するシステムのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。悪意のあ
クロスサイトスクリプティングについて | 世界に蔓延するコンピューターウイルスとは? at 2007.03.05 09:10
この記事へのコメント
管理者にだけ表示を許可する
 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。