美国东部时间10月10日(北京时间10月11日)据海外媒体的最新报道称,在以色列IT安全服务公司Finjan Software已通知Google网站中存在安全漏洞后,Google已悄然对其网站中存在的两处安全漏洞进行了修补。
由于这两项服务都需要使用来自Google用户帐户/密码系统,安全专家称漏洞可能会导致用户资料被盗用。报道称,Finjan Software在9月22日警告Google称,该公司关键字搜索服务和Google子域服务中存在安全漏洞。而在两天之后,Google便立即对漏洞进行了修复,并澄清说目前还没有用户因上述两个漏洞而遭受损失。
Google发言人在声明中说道:“不久前我们收到了关于这一问题的警告,我们对此做出了迅速的反应。目前,所有的问题都已得到了解决。还没有用户的数据因此而遭到泄露。我们对Finjan的工作表示非常的感谢。”
Finjan商业发展与战略副总裁利马·艾尔巴茨则表示,Google的关键字搜索和Google服务站点中存在一些格式,使它们不能够有效生成和过滤输入。“由于缺少数据的确定和过滤,这一漏洞将使攻击者们能够键入一些内容和脚本,使他们能够偷窃受害者的cookie”,艾尔巴茨在接受采访时表示。
Finjan在新闻发布会上并没有发表关于漏洞的详尽报告,不过艾尔巴茨也指出,该公司研究人员在递交给Google的安全报告中指出,Google的超链接易被他人利用,来控制用户的Google cookie。“在攻击者为Google的超链接设置一些特定的参数之后,当用户点击这些链接,攻击者便可以自动获得用户的帐户”,艾尔巴茨说道。她说,如果受害人用Google的帐号登陆并点击了恶意连接,攻击者便能够占用受害人的cookie,并能够用这一帐号进入到其它一些Google的服务当中去,这些服务包括Google的关键字搜索、个人化搜索、Froogle或是Google组群等等。艾尔巴茨还表示,攻击者还可以利用这一漏洞来发布钓鱼式攻击,甚至能够诱骗用户下载木马,间谍软件和其它一些恶意文件。 这已不是网络搜索巨擎Google第一次面对来自安全软件公司的质疑。去年12月,Google就曾被迫对其桌面搜索工具进行修改,因为两名赖斯大学的研究生发现其桌面搜索工具存在安全漏洞
。
