发布日期:2007-12-19
更新日期:2007-12-21
受影响系统:
Google GoogleToolbar 5 beta
Google GoogleToolbar 4
描述:
BUGTRAQ ID: 26923
Google Toolbar是安装在浏览器上的搜索工具栏。
Google Toolbar的实现上存在漏洞,远程攻击者可能利用此漏洞诱使用户执行不安全的操作。
Google Toolbar提供了用于创建工具栏按键的API,按键信息一般都存储在一个XML文件中。如果要添加按键的话,工具栏用户要点击引用了按键的XML文件的特制链接。当用户点击链接时,就会出现一个对话框显示按键的下载来源、名称、描述、图标和一些隐私考虑等信息。
攻击者可以创建添加了打开重新定向器特制的URL(例如,在google.com - http://www.google.com/local_url?q= )伪造“下载自”和“隐私考虑”部分所显示的域,诱骗用户添加并使用按键,这样用户就会信任该按键所提供的文件,或输入保密信息。在新的beta版工具栏中,攻击者还可以通过这种方式每隔几秒钟就提示用户点击一次按键。
Google:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.google.com
责任编辑:封小明
