12月6日消息,Google已经强化了其Desktop Search工具,使得它不能再让黑客利用IE浏览器中一个尚未修正漏洞来兴风作浪。
上周,以色列的安全研究人员吉伦在一份报告中表示,他已经发现了一种联合利用IE中缺陷和Google Desktop Search入侵Windows PC,并窃取个人资料的方法。吉伦在网志中说,IE处理CSS(层叠样式表)的方式中存在缺陷。吉伦说,他创建了一个测试性网页,当在运行有Google Desktop的计算机上的IE中浏览该网页时,使得他能够搜索计算机上的密码。吉伦表示,IE中的该缺陷能够使黑客从用户的计算机上窃取机密信息。
Google已经修正了其Desktop Search服务,使得宏观世界不再能够被用来发动远程攻击。加特纳的调研副总裁麦克唐纳说,尽管IE是该缺陷的罪魁祸首,Google修改Desktop Search使得它不再能够通过IE中的缺陷被远程访问是一种负责任的行为。这将使Desktop Search用户在微软解决这一问题前得到保护。
麦克唐纳表示,由于微软和Google正在激烈争夺桌面搜索市场,负面公共形象对Google是有害的。Google没有将问题一古脑儿地推给IE,而是直接在自己的产品中修正了这一问题。他说,只要IE中的这一缺陷仍然存在,这仍然可能使其它产品受到基于CSS的攻击。
麦克唐纳说,Google能够迅速地解决这一问题,因为它不要求修改用户台式机上的任何代码。Google对其主网站实施了更严格的安全控制。这一紧急事件引发了有关Google作为桌面软件厂商和未来发布补丁软件计划的重要问题,他表示,由于Google也将发布最终用户软件,它必须遵守与其它桌面软件相同的标准。
Sophos的高级技术顾问克鲁利称,如果Google已经修正了该问题,使得它不会再受到攻击,这是一个好消息。但是,安全研究人员应当与产品中被发现有缺陷的厂商合作,在厂商发布补丁软件后再披露缺陷的详细资料。
(T111)
