【修正済み】Gmail、フィルタ悪用による重大なセキュリティホールが明らかに

• ユーザがGmailにログインしている状態で、攻撃者が用意したウェブページにアクセスすると、GMailインターフェースの1つに対してmultipart/form-data形式のPOST処理が実行され、ユーザが設定しているGmailのフィルタリストに新たなフィルタがこっそり追加される。
• たとえば、「添付ファイル付きのメールを別のアドレスに転送する」というフィルタが追加された場合、条件に該当するすべてのメールが攻撃者の元へ自動的に転送されることになる。それ以降受信するメールについても同様にすべて転送されてしまう。
• たとえ今後Googleがこの脆弱性を修正したとしても、すでに被害を受けてしまったユーザの場合は、フィルタリストに見覚えのないフィルタがあると気づいて自分でそれを削除しない限り、攻撃を止めることはできない。

というわけで、みなさん今すぐ自分のフィルタ設定をチェックですYO！
Googleはこの脆弱性を修正する意向を示したものの、時期は明らかにしていない模様です。

とりあえずの回避策としては、Firefoxの場合「NoScript」というアドオンを使うと、あやしいサイトからのCSRF攻撃を簡単に防ぐことができるようです。これは、自分が指定したサイト以外ではJavaScriptなどのスクリプトやJavaなどの実行可能コンテンツが動作しないようにできるアドオンです。
IEの場合は、サイトレベルでそのようなコントロールはできないので、Sleipnirを使ってタブ別のセキュリティ設定を利用するとか、他の回避策を取るしかなさそうですね。
いずれにせよ、Googleが早く修正してくれますように〜。

↓ソースは以下です。

GMail Flaw Lets Anyone Read Your E-Mail
Wired Blogs - USA
http://blogs.zdnet.com/security/?p=539

Gmail zero-day flaw allows attackers to steal messages
Computerworld - Framingham,MA,USA
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9039120