发布日期：2007-12-19

更新日期：2007-12-21

受影响系统：

Google GoogleToolbar 5 beta

Google GoogleToolbar 4

描述：

BUGTRAQ ID: 26923

Google Toolbar是安装在浏览器上的搜索工具栏。

Google Toolbar的实现上存在漏洞，远程攻击者可能利用此漏洞诱使用户执行不安全的操作。

Google Toolbar提供了用于创建工具栏按键的API，按键信息一般都存储在一个XML文件中。如果要添加按键的话，工具栏用户要点击引用了按键的XML文件的特制链接。当用户点击链接时，就会出现一个对话框显示按键的下载来源、名称、描述、图标和一些隐私考虑等信息。

攻击者可以创建添加了打开重新定向器特制的URL（例如，在google.com - http://www.google.com/local_url?q= ）伪造“下载自”和“隐私考虑”部分所显示的域，诱骗用户添加并使用按键，这样用户就会信任该按键所提供的文件，或输入保密信息。在新的beta版工具栏中，攻击者还可以通过这种方式每隔几秒钟就提示用户点击一次按键。

Google：目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.google.com

　　推荐阅读

　　TikiWiki tiki-special_chars.php跨站脚本执行漏洞

【51CTO.com 综合报道】发布日期：2007-12-24 更新日期：2007-12-25受影响系统： TikiWiki Project TikiWiki 1.9.8.3 不受影响系统： TikiWiki Project TikiWiki 1.9.9 描述： BUGTRAQID: 27004TikiWiki是一款>>>详细阅读

本文标题：注意：Google Toolbar对话栏发现欺骗漏洞

地址：http://www.17bianji.com/anquan/buding/2317.html

 1/2    1