安全研究人员于当地时间本周三表示，Google公司已经修补了一安全漏洞，这一安全漏洞可能会导致用户受到钓鱼式、帐户挟持和其它形式的恶意攻击。

据发现这一问题的Web安全公司Watchfire表示，导致这一跨站点脚本漏洞的存在是因为Google公司没有适时地保证两种错误页面的安全。Watchfire安全公司已经就这一问题发送了一份安全邮件发送清单。据Watchfire公司的安全研究主任Ory Segal表示，这一漏洞可
被电脑黑客用来发动钓鱼式攻击或窃取用户的数字证书等。钓鱼式攻击旨在欺骗用户交出诸如用户身份证号码、信用卡密码以及社会保险号码等敏感性资料。据他表示，当我们注视Google公司的网站时，我们发现他们在Web应用软件的安全性方面处理得很好，然而，美中不足的是它似乎忽略了这一不太显眼的跨站点脚本漏洞。

Google公司证实：它在不久前它修补了这一漏洞。据Google公司的代表在一份电子邮件声明中表示，没有用户资料泄露出去，我们很赞成Watchfire公司遵守业界的漏洞披露规则。据Watchfire公司表示，这一问题存在于Google公司用来生成禁止重定向和访问Google公司网站上不存在页的错误页面的机制中。黑客可以使用UTF-7对这一漏洞进行利用。据Segal表示，在攻击中，用户仅仅需要点击一个恶意链接，或访问一个经过特别设计的恶意网页，接着就会在浏览器中看到Google公司错误网页，并同时接收到在恶意链接中嵌入的恶意JavaScript代码。由于这些代码是来自Google公司的，所以它能够访问诸如Google cookies等数据。

据Watchfire公司表示，Google公司在11月15日得知了这一漏洞，并于12月1日修补了它。Watchfire公司在其公告中对Google公司在这一问题的合作和沟通方面给予了表扬。跨站点脚本漏洞是很常见的。在今年早些时候，Finjan在Google和Microsoft公司的Xbox 360网站上发现了类似的漏洞。在Yahoo!公司基于Web的电子邮件服务中也发现了类似的漏洞。

作者：张婕