【IT168 软件资讯】国外消息，安全研究人员于当地时间本周三表示，Google（相关文章：难以置信！Google要推出没有CPU的PC）公司已经修补了一安全漏洞，这一安全漏洞可能会导致用户受到钓鱼式、帐户挟持和其它形式的恶意攻击。

    据发现这一问题的Web安全公司Watchfire表示，导致这一跨站点脚本漏洞的存在是因为Google公司没有适时地保证两种错误页面的安全。Watchfire安全公司已经就这一问题发送了一份安全邮件发送清单。据Watchfire公司的安全研究主任Ory Segal表示，这一漏洞可被电脑黑客用来发动钓鱼式攻击或窃取用户的数字证书等。钓鱼式攻击旨在欺骗用户交出诸如用户身份证号码、信用卡密码以及社会保险号码等敏感性资料。据他表示，当我们注视Google公司的网站时，我们发现他们在Web应用软件的安全性方面处理得很好，然而，美中不足的是它似乎忽略了这一不太显眼的跨站点脚本漏洞。

    Google公司证实：它在不久前它修补了这一漏洞。据Google公司的代表在一份电子邮件声明中表示，没有用户资料泄露出去，我们很赞成Watchfire公司遵守业界的漏洞披露规则。据Watchfire公司表示，这一问题存在于Google公司用来生成禁止重定向和访问Google公司网站上不存在页的错误页面的机制中。黑客可以使用UTF-7对这一漏洞进行利用。据Segal表示，在攻击中，用户仅仅需要点击一个恶意链接，或访问一个经过特别设计的恶意网页，接着就会在浏览器中看到Google公司错误网页，并同时接收到在恶意链接中嵌入的恶意JavaScript代码。由于这些代码是来自Google公司的，所以它能够访问诸如Google cookies等数据。

    据Watchfire公司表示，Google公司在11月15日得知了这一漏洞，并于12月1日修补了它。Watchfire公司在其公告中对Google公司在这一问题的合作和沟通方面给予了表扬。跨站点脚本漏洞是很常见的。在今年早些时候，Finjan在Google和微软（相关文章：叫板Google地图 微软发布Live Local）公司的Xbox 360网站上发现了类似的漏洞。在雅虎公司基于Web的电子邮件服务中也发现了类似的漏洞。