セキュリティ研究者らが、Google France におけるクロスサイトスクリプティングの脆弱性を明らかにした。
この欠陥は、インターネット上で 3 番目に多い Web アプリケーションのセキュリティホールであり、大量の改ざんや自動攻撃でよく悪用されます。
フランスのセキュリティ企業Sysdreamの研究者であるIssam Rabhi氏(@issam_rabhi)は、8月5日にこの欠陥をGoogleに報告した。
Googleは報告から4日後にこの欠陥を修正し、マウンテンビューのウェブセキュリティ担当者Krzysztof Kotowicz氏はRabhi氏に「ナイスキャッチ」と語った。
XSS概念実証。画像はIssam Rabhi氏による。
この混乱により、「攻撃者は、データを侵害し、ブラウザセッションを乗っ取る悪質なコードを被害者に送り込むことが可能になり、個人情報の漏洩、クッキーの盗難、さらにはブラウザの乗っ取りにつながる可能性がある」とラビ氏は言う。
研究者は、脆弱性が修正された後、概念実証のエクスプロイトを投稿しました。彼は、今回のバグはGoogleの人気のバグ報奨金プログラムではなく、現金よりも名誉を優先したと述べています。®
