Google修补Gmail资料外泄瑕疵 CNET新闻专区：Joris Evers　　03/01/2007 Google公司2日表示，出现在旗下若干服务、可能造成Gmail用户通讯录外泄的安全瑕疵 ，已经完成修补。 根据"Googling Google"部落格的描述，攻击者可制作一个恶意网站复制整个Gmail用户 的通讯录，形成垃圾邮件商的宝库。使用者只要单纯登入Gmail或其他Google服务就可 能受害。 Google视察员Haochi Chen在上周末检查Google Video功能时发现上述问题。该服务的 "Pick People to Email"，可让使用者邮寄影片给Gmail通讯录中的联络人。但他发现 ，该功能也会造成通讯录对外开放。 Chen在新年周末紧急通知Google。Google资讯安全经理Heather Adkins也证实，公司在 接到消息後的几小时内就解决问题。之後发现该瑕疵也影响其他服务，但也在一天之内 完成修补。她表示：「就我们所知，该弱点并未被利用，且没有使用者被影响。」 Adkins表示，问题出在Google使用少量资料互换格式JavaScript Object Notation（简 称JSON）物件的方式。她说：「这些物件若遭到误用，可能在无意间泄漏资讯。」 Google经常需要修补各项服务的瑕疵，其中多是网路应用软体内的较新型的弱点，例如 有助诈骗者发动钓鱼攻击的跨站指令错误。此外，JavaScript相关的弱点也能帮助恶徒 发动大规模攻击和恶意连结。 如同一般的软体公司，Google也呼吁抓错专家采取负责任的揭露方式，允许公司有一段 时间解决问题。Adkins说：「负责的揭露能让Google这类公司确保使用者的安全，在引 起恶徒注意前修补弱点并解决安全顾虑。」（陈智文/译） http://taiwan.cnet.com/news/software/0,2000064574,20113546,00.htm --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.115.155.54