兩名資安研究人員Aviv Raff及Adrian Pastor上周相繼指出Google Apps含有安全設計上的漏洞。
Raff在部落格中指出,使用者可以透過許多的Google子網域存取Google的多種網路應用程式,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要問題在駭客可利用這些跨網域的網路應用程式共享的安全設計漏洞。
所謂的跨網域共享網路應用程式指的是在特定的網域下可以連結其他網路應用程式,例如可在Google Maps網域下使用Google News服務。
Raff表示,因此Google Maps中一個小小的XSS問題就可能繞過瀏覽器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的帳號。
而Pastor則公布了一個相關的概念性驗證程式,可用以攻擊Google Images中的頁框注射(frame injection)漏洞,在Google Images中嵌入一個假的Gmail登入網頁,然後使用跨網域的網路應用程式共享漏洞進一步讓使用者相信這是一個合法的登入頁面。
Raff指出,他在今年4月就發現該漏洞並提報給Google,當時Google表示會調查該漏洞,但隨後一直未收到Google的回應,隨著Pastor發表該概念性驗證程式,他才決定揭露相關的資訊以期Google可儘速修補。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement