还记得那个经典的Google工具栏吗?
虽然这款谷歌工具栏逐渐整合至Chrome浏览器中,但是谷歌仍然保持谷歌工具栏产品线,例如谷歌工具栏按钮库,支持添加各类话题的搜索按钮图标,但这款工具栏同样暗藏危险的安全漏洞。
近期,谷歌为来自Detectify安全研究员们颁发10000美金,奖励他们举报一枚全新的XXE(XML External Entity)漏洞。
据安全专家介绍,这款漏洞来自谷歌旗下的Google工具栏按钮库站点。在该站点下,谷歌允许用户自定义使用新按钮图标应到到搜索工具栏项目上,但研究员发现相应的安全后门。例如,开发者可以通过上传一份包含设计类元数据的XML文件至谷歌服务器。
据安全专家介绍,“我们团队中的Fredrik研究这些API接口特性后,精心设计他自己一款内置XML实体的按钮图标。当搜索相应按钮时,他注意到该页面的标题及描述说明将自动打印回馈,于是他计划使用一次XXE安全攻击试验。”
最终,Fredrik成功完成自己的攻击试验,并向谷歌反馈该漏洞报告。
目前,谷歌公司的安全团队已经证实该漏洞问题,预计几天后修复XXE漏洞。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。