IT世界网讯:安全研究人员比尔·勒罗斯(Bill Rios)周一称,一起针对Google电子表格(Google Spreadsheet)的跨站脚本(XSS)攻击可能已经危及所有Google服务。当一个合法站点接受来自用户的输入但并未正确过滤输入内容时,可能会导致潜在的恶意指令注入的出现。在这种情况下,一旦攻击者获得对任何xxx.google.com站点的访问权,他们将同时可以获得对其他Google 服务的访问权,如Gmail、Docs和Code等。
一名Google负责人承认了这一漏洞的存在,并表示“Google已经解决了这一问题”。一名Google发言人说:“Google一向严肃、认真地对待我们用户的信息安全。我们很快解决了这一缺陷,并在它并未公开之前推出了一个补丁。目前,我们尚未接到任何关于此缺陷已被利用的报告。”
据勒罗斯称,在使用Google电子表格服务时,他能够使用IE浏览器更改将被返回给服务器的HTTP响应的content type。这里的问题就是:在某些环境下浏览器是否会忽略content-type头部。勒罗斯指出,在特定环境下,所有都懒起都有可能出现这种问题,因此Google无需为此承担全部责任。 |
