Google修正Mini中数个安全漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2005-11-24
Google修正Mini中数个安全漏洞   11月23日消息,Google悄悄的发布了一款补丁软件,修正其面向企业的Google Mini专用搜索服务器中的数个安全缺陷。 

  Metasploit项目的研究人员发现了Google Mini中的数个缺陷,能够被安全发动跨站点脚本、文件发现、服务列举等安全。该项目的创始人摩尔在安全公告中警告说,最严重的缺陷能够使安全执行任意命令。安全信息厂商Secunia公司对该缺陷的危险程度评级是“高度危急”。据摩尔称,Google的补丁软件和安全公告只发布给那些购买了Google Mini的企业。 

  Google的一名发言人说,Google在数个月前就知道这些缺陷的存在,并迅速地向企业客户提供了补丁软件。他说,没有客户因这些缺陷而受到影响。 

  摩尔表示,这一缺陷存在于对Google Mini的搜索界面进行定制的功能中。他解释说,一些版本的Google Mini能够使远程URL作为XSLT样式表的路径,并警告说,这一功能能够被用来发动恶意安全。在返回给用户前,传递给“proxystylesheet”参数的输入没有得到恰当的检查,这能够被用来在用户的浏览器中执行任意的HTML和脚本代码。 

  摩尔说,用户利用“proxystylesheet”参数中的URL提供的XSLT样式表在处理前也没有被仔细检查,安全能够利用这一缺陷在可能受到安全的Google Mini上执行任意的Java类方法。通过在样式表中包含恶意的JavaScript,安全还可以发动跨站点脚本安全。 

  摩尔指出,通过利用从样式表目录中的相对路径,安全能够确定系统上存在哪个文件。