回归最本质的信息安全

谷歌漏洞库系统惊现高危漏洞,分分钟查看所有漏洞报告

2017年10月31日发布

44,715
0
0

导语:安全研究员发现,谷歌bug tracker(可以理解为谷歌漏洞提交平台)中存在漏洞,安全研究员可以利用该漏洞查看漏洞库中的严重漏洞。

google-tracker.jpg

安全研究员发现,谷歌bug tracker(可以理解为谷歌漏洞提交平台)中存在漏洞,安全研究员可以利用该漏洞查看漏洞库中的严重漏洞。

谷歌bug tracker,也被称之为Issue Tracker或者Buganizer,可以理解成谷歌漏洞提交平台,安全研究员和白帽子们可以在此提交谷歌相关的漏洞、安全问题等。

一般情况下,普通用户是没有权限访问bug tracker的,至少无法查看漏洞库,但是安全研究员发现只要获得一个谷歌公司的邮件地址,那么他就可以访问bug tracker系统后台了,数千份的漏洞报告一览无余,其中有些还被标记了“priority zero”。

该漏洞发现者AlexBirsan表示,这个漏洞可能早就被恶意攻击者发现了,并且很有可能已经滥用。因为攻击者可以查看漏洞库中的所有漏洞,其中包括漏洞详情,所以攻击者完全有可能已经利用漏洞库中的漏洞潜入进了谷歌内网。

Birsan在通过邮件验证新账户之前创建了一个Gmail账户,这样用户就可以任意更改邮件地址了,甚至还可以更改成谷歌公司邮件地址。

虽然Birsan创建的虚假谷歌账户无法直接访问公司网络,但是这足以让bug tracker相信他就是谷歌员工,然后给他开权限查看漏洞报告。由于漏洞报告没有对查看人员进行限制,所以Birsan还可以向Issue Tracker服务器发送特定的请求,以获得查看任何漏洞报告(包括敏感漏洞报告)的权限。

Alex Birsan在发现问题之后便将问题提交给了谷歌,谷歌的办事效率也是挺高的(可能是因为问题太过严重的原因),一个小时内谷歌就将这一问题修复了,Birsan再也无法访问bug tracker的漏洞库了。

本文翻译自:http://www.zdnet.com/article/google-bug-tracker-flaw-exposed-sensitive-security-vulnerability-reports/,如若转载,请注明原文地址: http://www.4hou.com/info/news/8239.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

咿咿

咿咿

发私信

发表评论