来源：赛迪网 时间：2005-11-23 13:11:00

　　11月23日消息，Google悄悄的发布了一款补丁软件，修正其面向企业的Google Mini专用搜索服务器中的数个安全缺陷。

　　Metasploit项目的研究人员发现了Google Mini中的数个缺陷，能够被黑客发动跨站点脚本、文件发现、服务列举等攻击。该项目的创始人摩尔在安全公告中警告说，最严重的缺陷能够使黑客执行任意命令。安全专家对该缺陷的危险程度评级是“高度危急”。据摩尔称，Google的补丁软件和安全公告只发布给那些购买了Google Mini的企业。

　　Google的一名发言人说，Google在数个月前就知道这些缺陷的存在，并迅速地向企业客户提供了补丁软件。他说，没有客户因这些缺陷而受到影响。

　　摩尔表示，这一缺陷存在于对Google Mini的搜索界面进行定制的功能中。他解释说，一些版本的Google Mini能够使远程URL作为XSLT样式表的路径，并警告说，这一功能能够被用来发动恶意攻击。在返回给用户前，传递给“proxystylesheet”参数的输入没有得到恰当的检查，这能够被用来在用户的浏览器中执行任意的HTML和脚本代码。

　　摩尔说，用户利用“proxystylesheet”参数中的URL提供的XSLT样式表在处理前也没有被仔细检查，黑客能够利用这一缺陷在可能受到攻击的Google Mini上执行任意的Java类方法。通过在样式表中包含恶意的JavaScript，黑客还可以发动跨站点脚本攻击。

　　摩尔指出，通过利用从样式表目录中的相对路径，黑客能够确定系统上存在哪个文件。