Google网站存安全漏洞 用户易受钓鱼式攻击

[sunshine]

美国东部时间10月10日（北京时间10月11日）据海外媒体的最新报道称，在以色列IT安全服务公司Finjan Software已通知Google网站中存在安全漏洞后，Google已悄然对其网站中存在的两处安全漏洞进行了修补。

由于这两项服务都需要使用来自Google用户帐户/密码系统，安全专家称漏洞可能会导致用户资料被盗用。报道称，Finjan Software在9月22日警告Google称，该公司关键字搜索服务和Google子域服务中存在安全漏洞。而在两天之后，Google便立即对漏洞进行了修复，并澄清说目前还没有用户因上述两个漏洞而遭受损失。

Google发言人在声明中说道：“不久前我们收到了关于这一问题的警告，我们对此做出了迅速的反应。目前，所有的问题都已得到了解决。还没有用户的数据因此而遭到泄露。我们对Finjan的工作表示非常的感谢。”

Finjan商业发展与战略副总裁利马·艾尔巴茨则表示，Google的关键字搜索和Google服务站点中存在一些格式，使它们不能够有效生成和过滤输入。“由于缺少数据的确定和过滤，这一漏洞将使攻击者们能够键入一些内容和脚本，使他们能够偷窃受害者的cookie”，艾尔巴茨在接受采访时表示。

Finjan在新闻发布会上并没有发表关于漏洞的详尽报告，不过艾尔巴茨也指出，该公司研究人员在递交给Google的安全报告中指出，Google的超链接易被他人利用，来控制用户的Google cookie。“在攻击者为Google的超链接设置一些特定的参数之后，当用户点击这些链接，攻击者便可以自动获得用户的帐户”，艾尔巴茨说道。她说，如果受害人用Google的帐号登陆并点击了恶意连接，攻击者便能够占用受害人的cookie，并能够用这一帐号进入到其它一些Google的服务当中去，这些服务包括Google的关键字搜索、个人化搜索、Froogle或是Google组群等等。艾尔巴茨还表示，攻击者还可以利用这一漏洞来发布钓鱼式攻击，甚至能够诱骗用户下载木马，间谍软件和其它一些恶意文件。 这已不是网络搜索巨擎Google第一次面对来自安全软件公司的质疑。去年12月，Google就曾被迫对其桌面搜索工具进行修改，因为两名赖斯大学的研究生发现其桌面搜索工具存在安全漏洞。