注意：Google Toolbar對話欄發現欺騙漏洞

yumr

描述：

BUGTRAQ ID: 26923

Google Toolbar是安裝在瀏覽器上的搜索工具欄。

Google Toolbar的實現上存在漏洞，遠程攻擊者可能利用此漏洞誘使用戶執行不安全的操作。

Google Toolbar提供了用於創建工具欄按鍵的API，按鍵信息一般都存儲在一個XML文件中。如果要添加按鍵的話，工具欄用戶要點擊引用了按鍵的XML文件的特製鏈接。當用戶點擊鏈接時，就會出現一個對話框顯示按鍵的下載來源、名稱、描述、圖標和一些隱私考慮等信息。

攻擊者可以創建添加了打開重新定向器特製的URL（例如，在google.com - http://www.google.com/local_url?q= ）偽造「下載自」和「隱私考慮」部分所顯示的域，誘騙用戶添加並使用按鍵，這樣用戶就會信任該按鍵所提供的文件，或輸入保密信息。在新的beta版工具欄中，攻擊者還可以通過這種方式每隔幾秒鐘就提示用戶點擊一次按鍵。

Google：目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本：http://www.google.com