IEの脆弱性が原因で、攻撃者がGoogle DesktopユーザーのHDDをスキャンして
重要な情報を盗み出すことができてしまうとイスラエルのハッカーが指摘した。
MicrosoftのInternet Explorer(IE)でフィッシングの手口を使い、Google Desktop
ユーザーのHDDをスキャンすることができてしまうと、イスラエルのハッカーが指摘
した。IEがWebページを処理する方法に脆弱性が存在するため、悪質なWebサイトを
攻撃に使ってこのサイトを訪れたユーザーのクレジットカード番号やパスワードといった
重要情報を盗むことが可能だという。
「IEを使っているGoogle Desktopユーザーは現在、完全な無防備状態にある」。
ハッカーのマタン・ギロン氏は電子メールの取材に応えてこう語った。「経験を積んだ
攻撃者なら、ユーザーのHDDからパスワードやクレジットカード番号などの重要な
情報をこっそり盗み出すことができる。Googleは電子メールもインデックス化していて
Webインタフェースで読めるようになっているため、この攻撃を使ってそれにアクセス
することも可能だ」
ギロン氏は、この攻撃の仕組みについての詳しい情報とコンセプト実証コードを、
自分のブログに掲載している。
問題のIEの脆弱性は、IEがCSSフォーマットを使ってWebページのレイアウト情報を
処理する方法に関連している。攻撃を成功させるためにはまず、ユーザーをだまして
悪質なWebサイトを訪れさせる必要があるとギロン氏。攻撃はIE 6とGoogle Desktop v2で
可能だが、IEのほかのバージョンでも機能する可能性がある。FirefoxやOperaなどの
非Microsoftブラウザでは機能しない。
ギロン氏によれば、ユーザーがブラウザのJavaScriptを無効にすれば攻撃は回避できる。
ソース(ITmedia)エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0512/03/news003.html