Internet Watch logo
記事検索
最新ニュース

www.google.comにXSSの脆弱性があったことが判明、すでに修正済み


 セキュリティ企業のWatchfireは21日、米Googleのサイト「www.google.com」にクロスサイトスクリプティング(XSS)の脆弱性があったことを公表した。フィッシング詐欺に悪用される恐れもあったが、指摘を受けたGoogleでは、すでに問題を修正したという。

 Watchfireによると、www.google.com内の「404」や「403」エラーを表示するページでは、XSSで使用される「<」「>」「'」といった文字を回避する仕組みだったが、UTF-7でエンコードされているスクリプトの場合、この回避処理に失敗していた。

 Watchfireは11月15日にこの問題を発見してGoogleに通報した。Googleでは12月1日に修正したという。


関連情報

URL
  Google
  http://www.google.com/
  Watchfireのアドバイザリ(英文)
  http://www.webappsec.org/lists/websecurity/archive/2005-12/msg00059.html

関連記事
「Google」にXSSの脆弱性、9月下旬に修正済み〜米Finjanが指摘(2005/10/11)


( 鷹木 創 )
2005/12/22 19:30

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.