Google工具列含有網釣漏洞

知名安全研究人員Aviv Raff在周二（12/18）警告，Google工具列含有對話視窗欺騙漏洞，可能讓使用者安裝惡意的工具列應用程式，並遭受網路釣魚攻擊。

該漏洞影響IE上執行的最新Google Toolbar 5.0測試版、Google Toolbar 4.0，以及在部份Firefox上執行的Google Toolbar 4.0。Aviv Raff表示，他已經知會Google相關的漏洞細節，而Google亦正在修補該漏洞。

Aviv Raff說明，Google工具列提供一個很好的應用程式設計介面（API）讓其他開發人員建立新的工具列按鈕，基本上該按鈕的資訊是儲存在XML檔案中，使用者必須先點選一個可連到按鈕XML檔案的連結才能新增按鈕；當使用者按下連結時，就會跳出一個詳列按鈕資訊的對話窗，提供該按鈕是自何處下載、名稱、該按鈕的描述與圖示，以及該按鈕的資訊傳輸等隱私權資訊等。

Aviv Raff指出，駭客可以透過Google工具列的對話窗漏洞假造一個來自合法網站的按鈕資訊，以博得使用者信任，並讓使用者安裝該新功能以及提供個人資訊。

Aviv Raff還提供一個無害的概念性驗證程式來證明所言不假，並建議使用者在Google未釋出安全修補程式之前不要在工具列上安裝新的功能。

日前Finjan惡意程式研究中心才發表一份網路安全趨勢報告，指出隨著Web 2.0的竄起，惡意程式也更新到木馬2.0，採用Web 2.0技術並開採網友信任的合法網站以進行攻擊的木馬2.0將在未來幾年逐漸升溫。

Finjan表示，在今年第三季發現時下流行的Widget及Gadget等小型桌面程式衍生了安全問題，這些小程式通常是安裝在使用者桌面上並提供即時互動功能，有許多是由開放社群所開發，因此可能內含安全漏洞或遭駭客所利用。Finjan建議企業應該要針對這些程式訂定嚴格的政策，並採用能夠即時偵測到新興攻擊的產品。（編譯/陳曉莉）