Google修補網站安全漏洞

安全研究員10日表示,Google已經補好可能引來釣魚詐欺、挾持帳戶和其他攻擊的網站安全漏洞。

發現這項問題的安全業者Finjan Software表示,Google的AdWords廣告計畫網站,和一個顧客訓練網站,都有俗稱「跨站指令碼弱點」的漏洞。

該公司指出,攻擊者可藉此挾持Google帳戶、發動釣魚詐欺,或甚至下載惡意程式到使用者的電腦。釣魚攻擊是用來誘使民眾提供使用者名稱、密碼、信用卡資料,和身份證字號等敏感資訊。

Finjan副總Limor Elbaz表示,該公司在上月底通知Google,而問題在30個小時內便解決。他說:「Google的反應能力非常好。」

一名Google代表以電郵聲明表示,公司「在稍早前」便收到警告,並修補該漏洞。他說:「沒有任何使用者資料受損,我們也讚賞Finjan遵循業界對弱點揭露的最佳慣例。」

問題的起因是,Google的網站並未確認和過濾輸入某些範疇的資料,令攻擊者有機會插入可在使用者電腦中執行的額外內容和指令。Finjan表示,要利用這項弱點,攻擊者必須製作特別的網路連結,引誘使用者點入。

Elbaz說:「Google一案的危險處在於,這類連結看似無害的Google連結。」跨站指令碼漏洞經常出現。今年稍早,Finjan才在微軟的Xbox 360網站發現類似漏洞,雅虎的網站電郵服務也有這種漏洞。

以銷售企業安全防護系統為主的Finjan,本身也有網站安全弱點的掃瞄工具。該公司經常以知名網站為測試目標,Elbaz說:「我們的目的是鼓勵網站業者改善他們的產品。」

跨站指令碼漏洞修補完成後,Google的網站已被Finjan視為「安全」。Elbaz說:「我們發現網站其餘的部分沒有弱點,至少沒有跨站指令碼弱點。我們將持續觀察該網站。」

今年稍早,Google的電郵服務Gmail被發現可能導致使用者收件匣遭挾持的安全漏洞,所幸現已修補完成。(陳智文)

CNET新聞專區:Joris Evers  11/10/2005

轉載自: Google修補網站安全漏洞

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料