Google修補Gmail資料外洩瑕疵 - Google

Google修補Gmail資料外洩瑕疵

CNET新聞專區：Joris Evers　　03/01/2007

Google公司2日表示，出現在旗下若干服務、可能造成Gmail用戶通訊錄外洩的安全瑕疵
，已經完成修補。

根據"Googling Google"部落格的描述，攻擊者可製作一個惡意網站複製整個Gmail用戶
的通訊錄，形成垃圾郵件商的寶庫。使用者只要單純登入Gmail或其他Google服務就可
能受害。

Google視察員Haochi Chen在上週末檢查Google Video功能時發現上述問題。該服務的
"Pick People to Email"，可讓使用者郵寄影片給Gmail通訊錄中的聯絡人。但他發現
，該功能也會造成通訊錄對外開放。

Chen在新年週末緊急通知Google。Google資訊安全經理Heather Adkins也證實，公司在
接到消息後的幾小時內就解決問題。之後發現該瑕疵也影響其他服務，但也在一天之內
完成修補。她表示：「就我們所知，該弱點並未被利用，且沒有使用者被影響。」

Adkins表示，問題出在Google使用少量資料互換格式JavaScript Object Notation（簡
稱JSON）物件的方式。她說：「這些物件若遭到誤用，可能在無意間洩漏資訊。」

Google經常需要修補各項服務的瑕疵，其中多是網路應用軟體內的較新型的弱點，例如
有助詐騙者發動釣魚攻擊的跨站指令錯誤。此外，JavaScript相關的弱點也能幫助惡徒
發動大規模攻擊和惡意連結。

如同一般的軟體公司，Google也呼籲抓錯專家採取負責任的揭露方式，允許公司有一段
時間解決問題。Adkins說：「負責的揭露能讓Google這類公司確保使用者的安全，在引
起惡徒注意前修補弱點並解決安全顧慮。」（陳智文/譯）

http://taiwan.cnet.com/news/software/0,2000064574,20113546,00.htm

--