安全研究员10日表示,google已经补好可能引来钓鱼诈欺、挟持帐户和其他攻击的网站安全漏洞。
发现这项问题的安全业者finjansoftware表示,google的adwords广告计画网站,和一个顾客训练网站,都有俗称“跨站指令码弱点”的漏洞。
该公司指出,攻击者可藉此挟持google帐户、发动钓鱼诈欺,或甚至下载恶意程式到使用者的电脑。钓鱼攻击是用来诱使民众提供使用者名称、密码、信用卡资料,和身份证字号等敏感资讯。
finjan副总limorelbaz表示,该公司在上月底通知google,而问题在30个小时内便解决。他说:“google的反应能力非常好。”
一名google代表以电邮声明表示,公司“在稍早前”便收到警告,并修补该漏洞。他说:“没有任何使用者资料受损,我们也赞赏finjan遵循业界对弱点揭露的最佳惯例。”
问题的起因是,google的网站并未确认和过滤输入某些范畴的资料,令攻击者有机会插入可在使用者电脑中执行的额外内容和指令。finjan表示,要利用这项弱点,攻击者必须制作特别的网路连结,引诱使用者点入。
elbaz说:“google一案的危险处在于,这类连结看似无害的google连结。”跨站指令码漏洞经常出现。今年稍早,finjan才在微软的xbox360网站发现类似漏洞,雅虎的网站电邮服务也有这种漏洞。
以销售企业安全防护系统为主的finjan,本身也有网站安全弱点的扫瞄工具。该公司经常以知名网站为测试目标,elbaz说:“我们的目的是鼓励网站业者改善他们的产品。”
跨站指令码漏洞修补完成后,google的网站已被finjan视为“安全”。elbaz说:“我们发现网站其余的部分没有弱点,至少没有跨站指令码弱点。我们将持续观察该网站。”
今年稍早,google的电邮服务gmail被发现可能导致使用者收件匣遭挟持的安全漏洞,所幸现已修补完成。