|
||||
6月4日消息,Google本周一表示,旗下的Grand Central電信服務與Google.com網站先前出現若乾安全漏洞,但如今問題已解決。
Grand Central服務讓使用者設定在同一部電話上,可接聽多重電話號碼的來電,並把語音郵件整合為一。日前,此服務的登入頁面,被發現潛在跨站腳本攻擊(cross-site scripting,XSS)安全漏洞,但Google表示已修補此漏洞。
跨站腳本攻擊安全漏洞愈來愈常見於網絡應用,也就是網頁可能被植入惡意程序,進而被用來發動攻擊瀏覽網站的訪客,或入侵訪客的電腦。
Google發言人說:今天早晨,我們一獲報有此問題,就馬上亡羊補牢。
這個安全漏洞起初被公告在一個稱為完全揭露(Full Disclosure)的安全電子信郵寄名單上,而且事先並未向Google通報。換言之,Google必須快馬加鞭解決問題,否則可能有人會撰寫利用此漏洞的駭客范本程序(exploit)。
同時,Google也解決另一個安全問題。第二個安全漏洞讓有心人士建置仿冒網站,從域名看來似乎是正宗的Google.com網站,但其實卻把網頁瀏覽者拐到不同的網站。這種轉址鏈接通常經由電子郵件散布,而且往往把使用者導向包藏惡意程序的網站,用來發動攻擊或入侵訪客的電腦。
另外,Google還著手修補一個與在線廣告部門DoubleClick有關的轉址安全漏洞。此問題最先由Sunbelt博客披露。
Google發言人說:公然的URL轉址是一大問題,我們非常重視。我們得知google.com發生公然轉址問題時,便主動著手封鎖。我們一得知轉址者利用doubleclick.com,也立刻著手解決這個問題。