來自西班牙馬德里的Francisco Javier Santiago Vazquez是Mnemo公司的安全審計人員,近日他發(fā)現(xiàn)谷歌翻譯網(wǎng)站的界面存在XSS跨站式腳本漏洞。Vazquez表示在谷歌翻譯網(wǎng)站中“翻譯文檔”功能存在該漏洞,允許用戶在沒有預先提取和復制粘貼文本的時候翻譯基于包含文字的文檔,意味著允許第三方機構(gòu)通過該功能上傳包含有惡意程序的文檔從而向受害者電腦發(fā)起攻擊。
最簡單的方式就是充分利用這項功能來操縱HTML文件并通過注入JavaScript來運作惡意程序。其他的文件格式同樣也可以通過注入JS代碼的方式來進行傳播。你可以想象該漏洞的使用有點精妙,首先攻擊者會欺詐受害者下載文件,打開之后并確保受害者嘗試通過谷歌翻譯網(wǎng)站進行翻譯,且通過“翻譯文檔”功能。
Vazquez于本月初向谷歌公司發(fā)出了漏洞提醒,隨后谷歌官方發(fā)言人對此進行回應并不需要考慮這個漏洞的風險,因為這個漏洞很難被利用而且整個活動都出于沙盒中運行。
京公網(wǎng)安備 11010502049343號