Google本周一表示,旗下的Grand Central电信服务与Google.com网站先前出现若干安全漏洞,但如今问题已解决。
Grand Central服务让使用者设定在同一部电话上,可接听多重电话号码的来电,并把语音邮件整合为一。日前,此服务的登入页面,被发现潜在跨站脚本攻击(cross-site scripting,XSS)安全漏洞,但Google表示已修补此漏洞。
跨站脚本攻击安全漏洞愈来愈常见于网络应用,也就是网页可能被植入恶意程序,进而被用来发动攻击浏览网站的访客,或入侵访客的电脑。
Google发言人说:今天早晨,我们一获报有此问题,就马上亡羊补牢。
这个安全漏洞起初被公告在一个称为完全揭露(Full Disclosure)的安全电子信邮寄名单上,而且事先并未向Google通报。换言之,Google必须快马加鞭解决问题,否则可能有人会撰写利用此漏洞的骇客范本程序(exploit)。
同时,Google也解决另一个安全问题。第二个安全漏洞让有心人士建置仿冒网站,从域名看来似乎是正宗的Google.com网站,但其实却把网页浏览者拐到不同的网站。这种转址链接通常经由电子邮件散布,而且往往把使用者导向包藏恶意程序的网站,用来发动攻击或入侵访客的电脑。
另外,Google还着手修补一个与在线广告部门DoubleClick有关的转址安全漏洞。此问题最先由Sunbelt博客披露。
Google发言人说:公然的URL转址是一大问题,我们非常重视。我们得知google.com发生公然转址问题时,便主动着手封锁。我们一得知转址者利用doubleclick.com,也立刻着手解决这个问题。