描述:
BUGTRAQ ID: 26923
Google Toolbar是安裝在瀏覽器上的搜索工具欄。
Google Toolbar的實現上存在漏洞,遠程攻擊者可能利用此漏洞誘使用戶執行不安全的操作。
Google Toolbar提供了用於創建工具欄按鍵的API,按鍵信息一般都存儲在一個XML文件中。如果要添加按鍵的話,工具欄用戶要點擊引用了按鍵的XML文件的特製鏈接。當用戶點擊鏈接時,就會出現一個對話框顯示按鍵的下載來源、名稱、描述、圖標和一些隱私考慮等信息。
攻擊者可以創建添加了打開重新定向器特製的URL(例如,在google.com -
http://www.google.com/local_url?q= )偽造「下載自」和「隱私考慮」部分所顯示的域,誘騙用戶添加並使用按鍵,這樣用戶就會信任該按鍵所提供的文件,或輸入保密信息。在新的beta版工具欄中,攻擊者還可以通過這種方式每隔幾秒鐘就提示用戶點擊一次按鍵。
Google:目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
http://www.google.com
