Google заделала дыру в программе локального поиска

Уязвимость в инструменте локального поиска Google позволяет хакерам рыться в содержимом ПК, на которых он установлен.

Согласно распространенному в понедельник заявлению компании, она выпустила поправку для устранения уязвимости, обнаруженной американским ученым и двумя его студентами в конце ноября. «Мы в курсе этой уязвимости в программе Google Desktop Search и уже решили эту проблему, так что все существующие и будущие пользователи в безопасности», — сказала представительница Google.

Дэн Уоллах, доцент вычислительной техники Университета Райса, обнаружил ошибку вместе с аспирантами Сетом Фогарти и Сетом Нильсоном. Уоллах характеризует ее как комбинационную уязвимость — пробел в защите, вызванный взаимодействием нескольких разных компонентов.

Как пишет газета The New York Times, которая первой сообщила об обнаружении этой ошибки, каждый раз, когда производится поиск, инструмент Google выявляет трафик, адресуемый на Google.com, и вставляет в него результаты с жесткого диска пользователя. Уоллаху, Фогарти и Нильсону удалось обмануть программу Google, заставив ее помещать результаты на другие веб-страницы, где их может прочесть злоумышленник. Для этого необходимо, чтобы пользователь предварительно побывал на веб-сайте атакующего, снабженном специальной Java-программой (группа Уоллаха написала такой код), которая перенастраивает инструмент локального поиска Google на передачу информации, найденной пользователем. Эта программа могла делать с результатами поиска все, включая их доставку на веб-сайт злоумышленника.

Информация об этой ошибке обнародована всего через несколько дней после того, как аналитическая фирма Gartner предупредила организации, что им следует избегать установки инструмента локального поиска Google до тех пор, пока не выйдет версия, более подходящая для корпоративных пользователей.

Секьюрити-эксперты также предупреждали, что вирмейкеры могут использовать инструменты локального поиска для повышения эффективности своих атак.

Предыдущие публикации:

2004-12-14

MSN вступает в битву за поиск

В продолжение темы:

2004-12-28		Google-червь атакует AOL и Yahoo
2005-01-13		Ошибка Gmail открывала доступ к сообщениям
2005-09-23		У Google Desktop появился конкурент

Обсуждение и комментарии

	Пётр 21 Dec 2004 1:16 PM
А у меня гуглевский десктопный поисковик вообще не захотел устанавливаться. Сказал что ему мешает клиента для ISA Server. Просил его снести, за что был послан.

	добрый 21 Dec 2004 1:46 PM
Обновлять клиента ISA пробовал? Опять же Windows Update помогает.

	Пётр 21 Dec 2004 4:30 PM
Клиента ISA через Windows Update? Да мне проще было мсновский локальный поиск поставить.

	добрый 21 Dec 2004 7:48 PM
нет. попроси своего админа обновить

← ноябрь 2004

16 17 19 20 21 22 23 24 26

январь 2005 →