SecuLog

■Google Toolbar About Page Cross-Domain Command Execution

Google Toolbarでも脆弱性が見つかってるみたい。

インストールされたアドオンの生成するAboutページにスクリプトを挿入することができてしまうため、マイコンピュータゾーンでのスクリプト実行が可能になってしまっているという問題のようで。悪意あるリンクに誘導されると危険なコードを実行させられてしまいますね。

Bugtraqに実証コードがポストされているとのこと。

• GoogleToolbar:About -- Allows Script Injection

Googleからはまだアナウンスなどは見当たらないようで。

• Google ToolbarRevision History
• Google 更新履歴 （日本語）

最新版では、実は修正されているという話もあるみたい。

• Akira's Blogs: 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性

まぁ、Google Toolbarは自動アップデートされるようになっているので、そういうものは対策版がリリースされれば順次更新されていくのでしょうが、さて他のアドオンツールではどうなんでしょうかね。

参考:

• /.J: GoogleToolbar に脆弱性が発見される

seculogger による 03:32 午後 の書き込み (カテゴリー: 脆弱性情報)
| 印刷用 | PDF | Translate (en)| 参照数( 2366)

このWeblog中の関連記事: Google Toolbar About

Google検索: Google Toolbar About Page CrossDomain Command Execution

Amazon検索: Google Toolbar About Page Cross-Domain Command Execution

コメント