Google、XSS脆弱性を指摘され、修正 12
ストーリー by GetSet
振り向けば、そこにもここにも脆弱性… 部門より
振り向けば、そこにもここにも脆弱性… 部門より
Concerto 曰く、 "ITmediaの記事やCNETの記事によると、セキュリティソフトメーカのFinjan Softwareは10月10日、GoogleのWebサイトに危険なXSS脆弱性を発見し、同社に通報したと発表しました。
Finjanによると「AdWords」広告プログラム用のウェブサイトと顧客トレーニングサイトで利用されていたフォームが入力データの認証とフィルタを行っておらず、これを利用してリモートの攻撃者がコンテンツとスクリプトを仕掛け、ユーザーのcookieを盗み出せる状態になっていたとのことです。
FinjanのバイスプレジデントLimor Elbaz氏によると、「Googleのケースは、リンクが無害なもののように見える点が危険だった」とのこと。
Finjanがこのバグの存在を先月終わりにGoogleに伝えたところ、その後30時間以内に修正が行われたとのことで、Googleのある関係者は「ユーザデータの改ざんは一切無かった。」と電子メールによる声明のなかで述べています。"
修正完了まで30時間は (スコア:1)
迅速な対応はさすが。
LAN内LAN稼働中
Re:修正完了まで30時間は (スコア:0)
素人目にはすげえ
Re:修正完了まで30時間は (スコア:1)
クラスタシステムを対象に一気に更新をかける技術は
十分に出来上がっていると思います。
んで、Googleの場合、脆弱性の修正や頑健なコードを書く
技術がどのくらいあるのか未知数でしょう。
実際のところGoogleのツールバーやデスクトップ検索の
脆弱性というのはありましたが、サイトの脆弱性というのは
初見だと思います…それとも見落としていますかね?
ほかには頑健なJavaScriptと脆弱なJavaScriptってのが
どういうものかはあまり研究されていないのかも。
#ブラウザのJavaScriptの脆弱性は山ほど…(^^;
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:修正完了まで30時間は (スコア:0)
「ユーザデータの改ざんは一切無かった。」? (スコア:1, 興味深い)
情報漏洩についてはなかったとは言えない
ということかな?
というか、改竄がなかったことってどうしてわかる??
本人の変更とハイジャックでの変更が区別できるかあ??
Re:「ユーザデータの改ざんは一切無かった。」? (スコア:2, 参考になる)
通常の変更の間でアクセスログに差があればわかるかと
LAN内LAN稼働中
XSS ... (スコア:0)
1. よかったー
2. 違うの?
Re:XSS ... (スコア:0)
Re:XSS ... (スコア:0)
そのまま公開して逮捕された河合 一穂 [google.co.jp]さんの事かも。
Re:XSS ... (スコア:0)
違くない?
昔 (スコア:0)
Re:昔 (スコア:1)
こういうバグは、本当はあってはいけないことなんでしょうけど、端から見てると愉快ですよね。