Google Search Appliance和Google Mini是供银行和大学等组织在本身的网站加入搜索功能。专家发现这两种系统处理某些字符的方式有漏洞,可能被恶徒用来制作冒充合法单位的恶意网站。
维护NIST.org网站的安全专家John Herron指出:“这个弱点影响许多非常大的网站。它基本上允许恶意链接损坏合法网站的门面。”恶徒可借此发动钓鱼攻击,骗取受害者的重要个人资料。
Google发言人表示,公司约在上周发现这个问题。他在电邮回复中写道:我们已通知所有顾客,并提供他们如何保护其应用软件的清楚指示。他强调没有任何上述两软件的使用者通报任何相关攻击。
Google在11月22日通知所有顾客,正好赶在感恩节假期前。他表示,下一次发布的产品将解决这项问题。
这项跨站指令漏洞涉及7位Unicode Transformation Format或UTF字符加密。专精网络应用软件防护的WhiteHat Security技术长Jeremiah Grossman说:“这个特殊弱点的巧妙处在于加密的破坏。”
针对这项漏洞,网络使用者自保的方法之一是仔细检查网络链接。安全专家指出,恶意的链接通常很长。
尚未收到Google通知的顾客应主动联络该公司处理。Grossman说:“网站负责人必须勤于寻找和解决安全弱点,(因为)即使知名品牌提供的产品都有这些非常普遍的问题。”