Googleデスクトップが危ない

今後のトレンド示唆するGoogle攻撃　Webアプリを介したブラウザ乗っ取りの危険度

クロスサイト・スクリプティングによる攻撃です。
最近のPCでは、買ってきたらすでにGoogleデスクトップがインストールされていることもあるので、ちょっと気をつけないとまずいですね。

Googleデスクトップをインストールすると，ブラウザからの検索を可能にするために，ローカル・ホストでWebサーバー（ポート番号は 4664）が起動する。test.docというファイルを検索する場合なら，ブラウザに検索文字列を入力するとブラウザはローカルWebサーバーに次のよ うなリクエストを出す。http://127.0.0.1:4664/search&q=test.doc 　ぜい弱性が潜んでいたのは，このリクエストに付加するunderパラメータという検索オプションだった。このオプションは特定のフォルダやドライ ブ内を検索するためのもので，リクエストの中で「under:"C:?Document and Settings"」というように検索先を指定する。本来なら，under以下は文字列として認識される。ところがパラメータにJavaScriptコードを挿入すると，ローカルWebサーバーが検索結果のページにスクリプトを埋め込んで返信。ブラウザでスクリプトが実行されてしまう状態になっていた。

Googleぐらいの大企業で、しかもweb全体を引っ張っていくような影響力があると、あまり疑わずインストールしてしまいがちですが、油断は禁物です。
しかし、見つけた人もすごいね。実際こういうエラーっていっぱいあるんだろうなぁ。小さなサイトは誰も見向きもしないだけで。。。

制作側としては、ホント気をつけたい。。。