周一,Google修正了自己网站上的一个安全缺陷。该缺陷有可能会导致钓鱼攻击式等问题,从而威胁用户的帐户安全。
据发现该缺陷的安全厂商Finjan公司称,这一缺陷属于跨站点脚本缺陷,存在于Google的AdWords广告计划和客户培训网站上。由于Google网站上的表单没有对输入的数据进行验证和过滤,黑客可以利用通过伪造一个与Google类似的Web页面,诱惑用户进入,从而发动钓鱼式攻击并盗取Google用户的帐户,甚至能够在用户电脑执行恶意代码。
Finjan在上个月底向Google通报了这一问题,而Google在30个小时内就做出了修正。Google证实他们在此之前已经得到了警告,同时Google称没有用户数据泄漏,并对Finjan的通报方式表示赞赏。
跨站点脚本缺陷属于常见问题。今年早些时候,Finjan在微软的Xbox 360网站上就发现了一个类似的缺陷;此前Finjan还发现了雅虎Web电子邮件服务中的此类缺陷。
在缺陷得到修正后,Finjan认为Google网站是安全的。他们表示Google网站的其它部分不容易受到攻击,至少不存在跨站点脚本缺陷。Finjan会继续监测Google网站。