Google称网站跨站脚本攻击漏洞已解决 
 

Google本周一表示，旗下的Grand Central电信服务与Google.com网站先前出现若干安全漏洞，但如今问题已解决。 

Grand Central服务让使用者设定在同一部电话上，可接听多重电话号码的来电，并把语音邮件整合为一。日前，此服务的登入页面，被发现潜在跨站脚本攻击(cross-site scripting，XSS)安全漏洞，但Google表示已修补此漏洞。 

跨站脚本攻击安全漏洞愈来愈常见于网络应用，也就是网页可能被植入恶意程序，进而被用来发动攻击浏览网站的访客，或入侵访客的电脑。 

Google发言人说：今天早晨，我们一获报有此问题，就马上亡羊补牢。 

这个安全漏洞起初被公告在一个称为完全揭露(Full Disclosure)的安全电子信邮寄名单上，而且事先并未向Google通报。换言之，Google必须快马加鞭解决问题，否则可能有人会撰写利用此漏洞的骇客范本程序(exploit)。 

同时，Google也解决另一个安全问题。第二个安全漏洞让有心人士建置仿冒网站，从域名看来似乎是正宗的Google.com网站，但其实却把网页浏览者拐到不同的网站。这种转址链接通常经由电子邮件散布，而且往往把使用者导向包藏恶意程序的网站，用来发动攻击或入侵访客的电脑。 

另外，Google还着手修补一个与在线广告部门DoubleClick有关的转址安全漏洞。此问题最先由Sunbelt博客披露。 

Google发言人说：公然的URL转址是一大问题，我们非常重视。我们得知google.com发生公然转址问题时，便主动着手封锁。我们一得知转址者利用doubleclick.com，也立刻着手解决这个问题。