Google搜索有漏洞 网站被用来钓鱼攻击

安全专家警告，Google搜索软件有一漏洞，可导致使用网站被用来进行钓鱼攻击。
　　Google Search Appliance和Google Mini是供银行和大学等组织在本身的网站加入搜索功能。专家发现这两种系统处理某些字符的方式有漏洞，可能被恶徒用来制作冒充合法单位的恶意网站。
 
　　维护NIST.org网站的安全专家John Herron指出：“这个弱点影响许多非常大的网站。它基本上允许恶意链接损坏合法网站的门面。”恶徒可借此发动钓鱼攻击，骗取受害者的重要个人资料。

　　Google发言人表示，公司约在上周发现这个问题。他在电邮回复中写道：我们已通知所有顾客，并提供他们如何保护其应用软件的清楚指示。他强调没有任何上述两软件的使用者通报任何相关攻击。

　　Google在11月22日通知所有顾客，正好赶在感恩节假期前。他表示，下一次发布的产品将解决这项问题。

　　这项跨站指令漏洞涉及7位Unicode Transformation Format或UTF字符加密。专精网络应用软件防护的WhiteHat Security技术长Jeremiah Grossman说：“这个特殊弱点的巧妙处在于加密的破坏。”

　　针对这项漏洞，网络使用者自保的方法之一是仔细检查网络链接。安全专家指出，恶意的链接通常很长。 网管下载dl.bitscn.com

　　尚未收到Google通知的顾客应主动联络该公司处理。Grossman说：“网站负责人必须勤于寻找和解决安全弱点，(因为)即使知名品牌提供的产品都有这些非常普遍的问题。