据国外媒体最新报道,Google公司星期二向外界透露,公司目前已经修复了存在于Google多项服务中的一个安全漏洞,这个安全漏洞能够泄漏Gmail用户的地址薄。
一个关于Google的博客在2006年12月30日透露,攻击者可以建立一个恶意网站,这个恶意网站的网页能够复制Gmail用户地址薄中的所有电子邮件地址,这些信息对于垃圾邮件制造者来说可是非常有价值的资料。获得这些电子邮件地址的唯一的条件就是Gmail用户登陆Gmail或另外一个Google服务。
一名16岁的博客陈好池(Haochi Chen)在上个周末发现了这个安全漏洞。当时他正在用使用Google Video服务中一个名为“Pick People to Email”的功能,通过这个功能能够让用户从Gmail地址薄中挑选联系人发送一段视频。意想不到的是,陈好池发现在使用这个功能的同时会把地址薄泄漏给其他人。
陈好池在圣诞假期里就把这个安全漏洞报告给了Google公司。Google公司负责信息安全的官员希瑟·阿德金斯(Heather Adkins)星期二确认,公司已经得知了关于“Google Video服务”中的安全漏洞。不久之后,Google公司透露向外界透露,这个安全漏洞也存在于公司的其它服务之中。希瑟·阿德金斯表示,公司将会在一天之内解决这些安全问题。
阿德金斯在一份电子邮件声明中表示:“据我们所知,目前还没有人利用这个安全漏洞进行攻击,目前也没有用户因为这个安全漏洞而遭受损失。”阿德金斯表示,Google服务中存在这样的安全漏洞是因为Google使用了一种轻型数据交换格式,这种数据交换格式为JavaScript Object Notation(JSON)。Google使用由JSON创建的目标时出现了安全问题。她还表示:“如果用户使用这些目标文件不当,这些目标文件将会泄漏用户的相关信息。我们将会研究出一种修复补丁,这种修复补丁将会确保这些目标文件将不会被利用。”
到目前为止,Google经常会不得不修复其服务中存在的安全漏洞。这些安全漏洞中的大部分都同网站应用文件中的新安全问题有关--例如网站交互脚本缺陷,这种安全问题能够帮助恶意攻击者发动钓鱼攻击。另外,Java描述语言相关的安全漏洞也能够帮助恶意攻击者发动恶意攻击或建立恶意连接。
同传统的软件公司一样,Google呼吁那些发现程序错误的程序员们能够负责任地公布这些漏洞问题,并为Google提供修复这些漏洞的时间。阿德金斯表示:“如果及时地公布这些安全漏洞,在恶意攻击者利用这些安全漏洞之前,Google这样的公司就能够通过修复安全漏洞或推出安全补丁来确保用户不受这些安全漏洞的影响。”