この脆弱性は、Google ToolbarがWebブラウザに新しいカスタム・ボタンを追加する処理に存在する。Raff氏によると、Google Toolbarが新しいカスタム・ボタンをインストールする際に適切なチェックをしないため、悪意のあるユーザーはカスタム・ボタンを正規のWebサイトからダウンロードしたように偽装し、Google Toolbarに組み込むことが可能だという。攻撃対象者が知らずに“偽装ボタン”をクリックすれば、マルウェアがダウンロードされたり、フィッシング攻撃が仕掛けられたWebサイトに誘導されたりするというわけだ。
Raff氏によると、脆弱性が存在するのは「Google Toolbar 5 beta for Internet Explorer」「Google Toolbar 4 for Internet Explorer」「Google Toolbar 4 for Firefox」の3バージョンだという。同氏はこの問題について、 自身のブログ でも詳説している。
Googleの広報担当者は同日、同社がこの問題解決に取り組んでいることを公式に認めた。
実際に攻撃対象者のGoogle Toolbarに“偽装ボタン”を組み込み、これを悪用するには攻撃対象者にいくつものステップを踏ませる必要がある。まず、悪意のあるWebサイトに誘導するためのリンクを攻撃対象者にクリックさせ、ツールバーにカスタム・ボタンをインストールするかどうかを尋ねるダイアログボックスを開かせる。
通常、攻撃が仕掛けられているWebサイトが提供するカスタム・ボタンをツールバーにインストールしようとすると、警告ダイアログボックスが表示される。しかし、Google Toolbarに脆弱性があるため、警告ダイアログボックスは表示されない。インストールするかどうかを尋ねるダイアログボックスは、あたかも正規のWebサイトのものに見えるという。
攻撃対象者に“偽装ボタン”をインストールさせることに成功したら、今度は“偽装ボタン”をクリックさせ、さらにマルウェアをインストールするための実行ファイルをダウンロードさせる。あとは、攻撃対象者がファイル実行に同意すれば、“攻撃完了”だ。
独立系のセキュリティ研究者のマーク・マイフレット(Marc Maiffret)氏は、同脆弱性を利用した攻撃は多くのステップを要するため、さほど危険ではないと指摘している。
「興味深い脆弱性だが、ほかの脆弱性と比較すると危険度は低い」(Maiffret氏)
しかしMaiffret氏は、このような脆弱性を修正しないままサービスとして提供したGoogleの姿勢に苦言を呈している。
「(脆弱性を悪用した)攻撃よりも、同脆弱性が(Google社内の)チェックをすり抜けてしまったことのほうが重大な問題だ。Googleはなぜ脆弱性を確認できなかったのか、きちんと経緯を調べる必要がある」(Maiffret氏)
Raff氏によると、Googleのサービスで単純な脆弱性が発覚したのは、今回が初めてではないという。同氏は今年11月にも、単純なWebプログラミングのミスが原因で、Google.comでクロスサイト・スクリプティング攻撃の実行が可能となっていたことを突き止めている。
(Robert McMillan/IDG News Service サンフランシスコ支局)
米国Google
http://www.google.com/