Согласно распространенному в понедельник заявлению компании, она выпустила поправку для устранения уязвимости, обнаруженной американским ученым и двумя его студентами в конце ноября. «Мы в курсе этой уязвимости в программе Google Desktop Search и уже решили эту проблему, так что все существующие и будущие пользователи в безопасности», — сказала представительница Google. Дэн Уоллах, доцент вычислительной техники Университета Райса, обнаружил ошибку вместе с аспирантами Сетом Фогарти и Сетом Нильсоном. Уоллах характеризует ее как комбинационную уязвимость — пробел в защите, вызванный взаимодействием нескольких разных компонентов. Как пишет газета The New York Times, которая первой сообщила об обнаружении этой ошибки, каждый раз, когда производится поиск, инструмент Google выявляет трафик, адресуемый на Google.com, и вставляет в него результаты с жесткого диска пользователя. Уоллаху, Фогарти и Нильсону удалось обмануть программу Google, заставив ее помещать результаты на другие веб-страницы, где их может прочесть злоумышленник. Для этого необходимо, чтобы пользователь предварительно побывал на веб-сайте атакующего, снабженном специальной Java-программой (группа Уоллаха написала такой код), которая перенастраивает инструмент локального поиска Google на передачу информации, найденной пользователем. Эта программа могла делать с результатами поиска все, включая их доставку на веб-сайт злоумышленника. Информация об этой ошибке обнародована всего через несколько дней после того, как аналитическая фирма Gartner предупредила организации, что им следует избегать установки инструмента локального поиска Google до тех пор, пока не выйдет версия, более подходящая для корпоративных пользователей.
ZDNet