Google Desktop出現嚴重漏洞

資安業者Watchfire在上周公布Google旗下桌面搜尋工具Google Desktop有嚴重漏洞，可讓駭客竊取使用者電腦中所儲存的資訊，並能遠端執行任意程式。

Watchfire安全研究總監Danny Allan表示，事實上Google Desktop中存有三個漏洞，這些漏洞的原因都是來自跨網站的入侵（Cross Site Scripting，XSS）漏洞。由於Google Desktop與Google搜尋首頁的整合，讓Google Desktop陷入攻擊危機中，駭客可以擷取使用者電腦中儲存的資料，也能控制網路應用程式的功能，或是在遠端執行任意程式。

Google Desktop是一款免費桌面搜尋程式，儲存使用者電腦中所有的檔案以便即時搜尋，涵蓋網頁瀏覽歷史紀錄、各式文件檔、多媒體檔案、電子郵件、壓縮檔等，同時。Google Desktop也整合了Google搜尋首頁，除了在Google首頁上的搜尋欄位可以找到Desktop外，當使用者在Google上進行搜尋時，搜尋結果頁也會出現透過Google Desktop所搜尋的使用者電腦中的內容。

因此，當使用者點選電子郵件中的惡意連結，或是連到惡意網站，就可能讓駭客利用Google Desktop中的漏洞進行攻擊。

Watchfire是在今年1月告知Google這些漏洞的存在，Google則在今年2月就開始提供自動更新服務。

Google發言人Barry Schnitt表示，該公司在得知後很快就推出更新程式，並提供自動更新，此外，該公司也在最新版的Google Desktop中提供另一層的安全檢查機制以保護使用者在未來不受類似漏洞的影響。現階段尚未有任何相關的攻擊報告。

Barry Schnitt也建議使用者檢查自己的Google Desktop是否為最新版，或自網站下載新版。（編譯/陳曉莉）