GmailのCSRF脆弱性修正 - デベロッパもユーザもCSRFに対して認識を | エンタープライズ | マイコミジャーナル
Netcraftは9月30日(米国時間)、GoogleがGmailに存在していたクロスサイトリクエスト偽装(CSRF: Cross-site Request Forgery)に関する脆弱性問題を修正したことを発表した。これまでのGmailにはログインした状態のユーザに対して、メールフィルタを追加してメールを特定のアカウントへ転送することが可能な脆弱性があるとされていた。 今回修正されたCSRFだが、特別な脆弱性ではなくWebアプリケーションに存在する脆弱性として以前から存在する代表的なもののひとつ。特に最近Webアプリケーションを攻撃する場合によく使われる方法となっている。Webアプリケーションの普及にともない、CSRFを使った問題が今後ますます増えると思われる。 Gmailは代表的なWebアプリケーションだ。今回GMailにおいてCSRFの修正が実施されたことは啓蒙の点でも注目に値する。
Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ - ITmedia Biz.ID
米GoogleのWebメールサービス「Gmail」に、他人のメールを盗み見できてしまう脆弱性が報告された。Googleをめぐっては、このほかにも複数のサービスでゼロデイの脆弱性情報が公開されている。 Gmailの脆弱性情報は、ハッカーサイトの「GNUCITIZEN」などで公開された。同サイトによれば、この問題を悪用するとクロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛け、Gmailアカウントにバックドアをインストールして会話をすべて盗み見することができてしまうという。 ユーザーがGmailにログインした状態で悪質サイトを閲覧すると、バックドアがインストールされ、被害者のフィルタリストに新しいフィルタが作成される。例えば、添付ファイルが付いたメールを自動的に別のメールに転送するフィルタを作成することが可能だという。 この攻撃は非常に悪質であり、ユーザーが被害に気付くことはまずあり得な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
