来自西班牙马德里的Francisco Javier Santiago Vazquez是Mnemo公司的安全审计人员,近日他发现谷歌翻译网站的界面存在XSS跨站式脚本漏洞。Vazquez表示在谷歌翻译网站中“翻译文档”功能存在该漏洞,允许用户在没有预先提取和复制粘贴文本的时候翻译基于包含文字的文档,意味着允许第三方机构通过该功能上传包含有恶意程序的文档从而向受害者电脑发起攻击。
最简单的方式就是充分利用这项功能来操纵HTML文件并通过注入JavaScript来运作恶意程序。其他的文件格式同样也可以通过注入JS代码的方式来进行传播。你可以想象该漏洞的使用有点精妙,首先攻击者会欺诈受害者下载文件,打开之后并确保受害者尝试通过谷歌翻译网站进行翻译,且通过“翻译文档”功能。
Vazquez于本月初向谷歌公司发出了漏洞提醒,随后谷歌官方发言人对此进行回应并不需要考虑这个漏洞的风险,因为这个漏洞很难被利用而且整个活动都出于沙盒中运行。