來自西班牙馬德里的Francisco Javier Santiago Vazquez是Mnemo公司的安全審計人員，近日他發(fā)現(xiàn)谷歌翻譯網(wǎng)站的界面存在XSS跨站式腳本漏洞。Vazquez表示在谷歌翻譯網(wǎng)站中“翻譯文檔”功能存在該漏洞，允許用戶在沒有預(yù)先提取和復(fù)制粘貼文本的時候翻譯基于包含文字的文檔，意味著允許第三方機構(gòu)通過該功能上傳包含有惡意程序的文檔從而向受害者電腦發(fā)起攻擊。

　　最簡單的方式就是充分利用這項功能來操縱HTML文件并通過注入JavaScript來運作惡意程序。其他的文件格式同樣也可以通過注入JS代碼的方式來進行傳播。你可以想象該漏洞的使用有點精妙，首先攻擊者會欺詐受害者下載文件，打開之后并確保受害者嘗試通過谷歌翻譯網(wǎng)站進行翻譯，且通過“翻譯文檔”功能。

　　Vazquez于本月初向谷歌公司發(fā)出了漏洞提醒，隨后谷歌官方發(fā)言人對此進行回應(yīng)并不需要考慮這個漏洞的風(fēng)險，因為這個漏洞很難被利用而且整個活動都出于沙盒中運行。