IEの欠陥により、Google Desktopに情報漏洩の危険性

IEの欠陥により、Google Desktopに情報漏洩の危険性 31

ストーリー by GetSet 2005年12月03日 18時00分
この組み合わせでの利用者は要注意部門より

oddmake曰く、"eWeek記事や本家記事にもなっているが、ITmediaの記事によるとInternet ExplorerとGoogle Desktop を使っているユーザの個人情報を盗むことができる方法をイスラエルのマタン・ギロン氏が発見し、自身のWebページで詳細に解説したという。最新のパッチがあたっていて、デフォルトのセキュリティ設定の状態のIEとGoogle Desktop v2を使っている状態で脆弱性の実証コードは動作したという。マイクロソフトによると、この脆弱性によってユーザが攻撃を受けた例はまだ確認されていないということだ。事は重大であるので、信頼できないWebページは訪問したりせず、パッチやMSのsecurity advisoryなどで対処法が示され次第、各自対処を行なって欲しい。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索31コメント Log In/Create an Account

Google だけじゃなく (スコア:5, 参考になる)

by deleted user (19654) on 2005年12月03日 18時25分 (#841836) ホームページ日記

問題は IE の CSS 読み込みで問題があるということなので

＞Gillon used the Google Desktop utility to prove his findings, but in theory, any domain
＞or application that depends on the IE cross-domain security model is vulnerable.

とあるように、Google Desktop は一例にすぎず、
理論的には IE のクロスドメイン防御に頼っているものはすべて
悪用され得るようです。

＞"Thousands of Web sites can be exploited, and there isn't a simple solution against
＞this attack at least until IE is fixed," Gillon said.

危険性のあるサイトはかなり多いようです。
「Google Desktop に危険性」というタイトルは
ちょっと危険を過小評価しているかもしれませんね。
- Googleは実証用コードへの対策をした模様 (スコア:5, 参考になる)
  
  by Anonymous Coward on 2005年12月03日 21時51分 (#841880)
  
  どうやらGoogle側で対策(Googleデスクトップへのリンク部分がCSSのコメントになるようにしている)したようで、
  マタン・ギロン氏が公開している実証用コードがIEでも動作しなくなっています。
  あと、あくまで実証用コードが動かなくなっただけであり、脆弱性は依然として存在しますので、
  
  ＞とあるように、Google Desktop は一例にすぎず、
  ＞理論的には IE のクロスドメイン防御に頼っているものはすべて
  ＞悪用され得るようです。
  
  という状況は変わっていないことにご注意を。
  
  シェア
  
  親コメント
- Re:Google だけじゃなく (スコア:0)
  
  by Anonymous Coward
  
  だよなあ。このタイトルじゃ、GoogleDesktopだけ？じゃあGoogleDesktopの脆弱性じゃねーの？って勘違いする。
IEっていまだに (スコア:5, 興味深い)

by Aruku2005 (29364) on 2005年12月03日 19時15分 (#841850) 日記

イントラエリアとインターネットエリアを
うまく処理していない所があります。

いや、プロキシ設定でローカルをしていしても
若干誤動作しているし、その時javascriptやプラグインが
動作しないし

この間リリースされていたFireFoxは大丈夫でした。
- もしかして、既知の問題(仕様)に嵌ってません？ (スコア:5, 参考になる)
  
  by kei100 (5854) on 2005年12月04日 10時26分 (#842168)
  
  ＞イントラエリアとインターネットエリアを
  ＞うまく処理していない所があります。
  
  もしかして、自動構成をONにしてますか？
  だとしたら、仕様かもしれません。
  IEの自動Proxy設定とセキュリティ・ゾーン [atmarkit.co.jp]を一度お読みになられると良いかと。
  
  ＞いや、プロキシ設定でローカルをしていしても
  ＞若干誤動作しているし、その時javascriptやプラグインが
  動作しないし
  
  Norton InternetSecurity2004等の広告ブロック等はHTMLにJavaScriptを追加・変更することで実現してるのでそれの副作用という可能性もあります。
  一度、本当にIEが原因なのかを疑ってみるのもオススメします。
  Firefoxで影響が出なかったのは広告ブロックのフックが機能しなかったという可能性も・・・
  
  シェア
  
  親コメント
  - 一度、本当にIEが原因なのかを疑ってみるのもオススメします。 (スコア:1)
    
    by Aruku2005 (29364) on 2005年12月04日 14時02分 (#842255) 日記
    
    ＞＞一度、本当にIEが原因なのかを疑ってみるのもオススメします。
    この辺はチェック済みなのでＩＥ側に問題ありそうです。
    ＦｉｒｅＦｏｘ側はちゃんと処理してるっぽい。
    
    シェア
    
    親コメント
- Re:IEっていまだに (スコア:1, 余計なもの)
  
  by Elbereth (17793) on 2005年12月04日 6時29分 (#842097)
  
  1.5が出た今でもよく見かけるんだけど、
  
  × FireFox
  ○ Firefox
  
  シェア
  
  親コメント
なんか・・・ (スコア:3, おもしろおかしい)

by kei100 (5854) on 2005年12月03日 18時06分 (#841825)

去年も似たような話題があったなぁ・・・ [srad.jp]
# って自分のポストした記事だったorz
- Re:なんか・・・ (スコア:3, すばらしい洞察)
  
  by Elbereth (17793) on 2005年12月03日 18時21分 (#841833)
  
  実は、1年ちょい前にGoogleDesktopがでてきた時のストーリーで、予想してました [srad.jp]??。
  
  シェア
  
  親コメント
- Googleがそう考えてなくても‥ (スコア:1, 興味深い)
  
  by Anonymous Coward on 2005年12月03日 18時19分 (#841832)
  
  PC内部の情報をかき集めるGoogle Desktop＋PC外部と接続できるIEが組み合わさっていて
  ユーザがこれを分離できない、っていう時点ですでに『危険』だと思う。
  
  もちろん、『だからGoogle Desktopはダメなんだ』ってことはない。
  使うことを選択したのは、他ならぬユーザ自身なのだから。
  
  シェア
  
  親コメント
  - Re:Googleがそう考えてなくても‥ (スコア:3, すばらしい洞察)
    
    by yasiyasi (5450) on 2005年12月03日 18時25分 (#841835)
    
    > 使うことを選択したのは、他ならぬユーザ自身なのだから。
    
    「そのような危険な状態になりますが、それでも利用しますか？」と、
    危険性を教えられた上で、それでもなお選択したのならば、ユーザー自身に責任の一端を負わせられると思いますがね。
    
    シェア
    
    親コメント
    - Re:Googleがそう考えてなくても‥ (スコア:0)
      
      by Anonymous Coward
      
      分かってる人はパッと見でヤヴァくね？って思えるけど、
      企業側にしてみれば自ら「潜在的に危険」とは言えんわな。
      
      今回の場合であれば「俺のせいじゃないけど」がせいぜい。
- Re:それをいうなら (スコア:2, すばらしい洞察)
  
  by makochi13 (25998) on 2005年12月03日 23時54分 (#841937) ホームページ日記
  
  IE使わなきゃいいんだろ？楽勝。
  
  Google だけじゃなく [srad.jp]とかGoogleは実証用コードへの対策をした模様 [srad.jp]も参考にね。
  
  シェア
  
  親コメント
- Re:要は (スコア:1)
  
  by Inetgate (22498) on 2005年12月04日 2時46分 (#842028) ホームページ
  
  最初にこの記事をIE flaw lets intruders into Google Desktop [com.com]で見た時は、Firefox+GoogleDesktopなら関係ないのでわ？と思ってました。
  
  シェア
  
  親コメント
- Re:要は (スコア:0)
  
  by Anonymous Coward
  
  かく言う私は、Google Desktopを使っていなけりゃこのニュースを知らなかった訳で…

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

IEの欠陥により、Google Desktopに情報漏洩の危険性 31

IEの欠陥により、Google Desktopに情報漏洩の危険性 More ログイン

Google だけじゃなく (スコア:5, 参考になる)

Googleは実証用コードへの対策をした模様 (スコア:5, 参考になる)

Re:Google だけじゃなく (スコア:0)

IEっていまだに (スコア:5, 興味深い)

もしかして、既知の問題(仕様)に嵌ってません？ (スコア:5, 参考になる)

一度、本当にIEが原因なのかを疑ってみるのもオススメします。 (スコア:1)

Re:IEっていまだに (スコア:1, 余計なもの)

なんか・・・ (スコア:3, おもしろおかしい)

Re:なんか・・・ (スコア:3, すばらしい洞察)

Googleがそう考えてなくても‥ (スコア:1, 興味深い)

Re:Googleがそう考えてなくても‥ (スコア:3, すばらしい洞察)

Re:Googleがそう考えてなくても‥ (スコア:0)

Re:それをいうなら (スコア:2, すばらしい洞察)

Re:要は (スコア:1)

Re:要は (スコア:0)

スラド