轉貼CNET新聞專區
http://taiwan.cnet.com/news/softwar...20095644,00.htm
Gmail漏洞讓電子郵件訊息外洩
CNET新聞專區：Robert Lemos報導　　13/01/2005

兩名駭客12日宣稱，Google的Gmail電子郵件服務有漏洞，可讓任一使用者向Google伺服器查詢有關上一封外傳郵件的資料。

這兩名程式設計師屬於某個FreeBSD作業系統討論社群網站的成員。他們發現，若是電郵地址的格式不當，可讓Gmail用戶窺探前一封伺服器傳出的HTML格式電子郵件內文。

兩名程式設計師在評論中寫道：「結果是，透過Gmail通訊的隱私不保。訊息內容和地址資料可輕易被意料之外的收件人看到，儘管內容是隨機存取的。」

Google周三承認有此疏失，並表示問題已解決。此瑕疵存在多久的時間，不得而知。

程式設計師發現，傳送電子郵件時，若收件人電郵地址末端省略掉「>」符號，就會導致Google伺服器傳回一則看似隨機選取的訊息，但駭客明白那則回傳訊息擷取自別的用戶傳出的電郵訊息。

Google坦承疏失，並已在晚間排除問題。內部消息來源透露，由於問題出在Google伺服器上的應用程式，所以問題一解決，等於為所有的用戶封死訊息外洩的漏洞。

這家搜尋引擎公司樹大招風，必須因應的安全弱點與日俱增，因為Google程式的威力強大、使用者又多，導致安全研究員更仔細檢視Google的產品。先是蠕蟲利用Google的搜尋引擎在網路上尋覓有潛在漏洞未補的電腦主機，然後Google桌面搜尋引擎又發現瑕疵，可能讓安裝該軟體的電腦暴露於外來的攻擊。

Google去年4月推出免費電子郵件服務Gmail，至今已吸引為數眾多的用戶。儘管該電郵系統仍在測試階段，許多使用者已開始依賴Gmail作為通訊工具。

不過，因為Google的服務大部分都在該公司自家的伺服器上執行，而不靠安裝在用戶端系統上的軟體，所以修補任何安全漏洞的行動可快速完成。（唐慧文）