Google Desktopに、XSSの脆弱性が2月に報告されている。このことは何を意味するかというと、Google DesktopのインストールされたホストのWebブラウザが、リモートからJavaScriptによりハイジャック可能だということだ。Webブラウザをハイジャックすれば、Web ブラウザ上でのキータイプの詐取や、Webブラウザを不正操作することなども可能になる。ここまで説明すれば、この脆弱性の影響度が、日常生活にも及びそうなことは容易に想像が付くだろう。
さて、本題はここからで、Google Desktopには、「Search Across Computers機能」という、非常に自由度が高く、拡張性豊かな機能を持っている。この機能がオンにすると、ローカルホスト内をインデックス化するだけでなく、ファイルをGoogle側にコピーすることで、リモートホストから検索可能な状態になる。
