吳明宜Google表示已修補Google Pack中一項可能導致攻擊者執行任意指令的安全弱點。
Google 表示已修補 Google Pack 中一項可能導致攻擊者執行任意指令的安全弱點。
Google Pack PC 版本包含 Google Apps 元件:googleapps.exe,可能遭到遠端注入指令碼的攻擊。 Mac 版本 Google Pack 則因不含弱點元件而不受影響。
「我們本周稍早已發佈修補程式,並已發佈給受影響的 Google Pack 版本。」Google 發言人說道。
可在網路上下載的 Google Pack PC 版本已在周三修復。之前下載軟體的用戶如果不是經由 Google 自動更新來修補的話,則會接到一個修補程式。
這個問題起於 4 個月前 Google 變更程式碼,因此在那之前下載 Google Pack 的元件就不會有問題。
這項弱點和「googleapps.url.mailto:」URL 處理如「render-path」等指令資料有關。
概念驗證攻擊程式碼已在未事先通知 Google 情況下於 10/1 張貼在網路上。該公司隔天發現該程式碼,表示還未發現有採取攻擊的情形。
若有人想利用此項弱點進行攻擊,必須有幾項前提:利用 Google Chrome 安裝有弱點的 Google Pack 後,利用 IE 來造訪惡意網站。這個惡意網站會發動攻擊,通過 IE 和有弱點的 Google Apps 及 Google Chrome 進入使用者電腦。
根據程式碼的附註,遠端注入指令碼後,駭客就可以利用遠端網路共享啟動任意批次檔,或從本機系統啟動執行檔。。
一旦發生攻擊,受影響的是使用者電腦,而非 Google 伺服器。