【安全圈】Google修复了主要的gmail漏洞

谷歌(Google)周三修复了影响Gmail和G Suite电子邮件服务器的一个重大安全漏洞。

该漏洞可能允许威胁演员发送仿冒任何Gmail或G Suite客户的假邮件。

据今年4月发现并向谷歌报告这一问题的安全研究员艾莉森·侯赛因(Allison Husain)称，这一漏洞还允许攻击者将伪造的电子邮件传递给谷歌。防晒系数(发件人策略框架)及DMARC(基于域的消息认证、报告和一致性)，这是两个最先进的电子邮件安全标准.

尽管已经提前了四个月，GOOGLE还是推迟了补丁程序。

然而，尽管谷歌有137天的时间来解决报告中的问题，但谷歌最初还是推迟了公布截止日期后的补丁，计划在9月份某个地方修复该漏洞。

在侯赛因之后，谷歌的工程师们昨天改变了主意。在她的博客上公布了关于这个bug的详细信息，包括概念证明代码。

在这篇博客文章发布7个小时后，谷歌告诉Husain，他们部署了缓解措施，以阻止任何利用报告问题的攻击，同时等待最终补丁在9月部署。

事后看来，昨天修补Snafu的漏洞在科技行业很常见，在这个行业，许多公司及其安全团队并不总是完全理解在有关漏洞的细节被公开之前不修补漏洞的严重性和后果，它们可能会被利用。

GMAIL(G SUITE)BUG是如何工作的

至于bug本身，问题实际上是两个因素的结合，正如Husain在她的博客文章中所解释的那样。

第一个漏洞允许攻击者将伪造的电子邮件发送到Gmail和G Suite后端的电子邮件网关。

攻击者可以在Gmail和G Suite后端运行/租用恶意电子邮件服务器，允许该邮件通过，然后使用第二个bug。

第二个错误允许攻击者设置自定义的电子邮件路由规则，接收传入的电子邮件并转发它，同时还可以使用名为“更改信封收件人”的本地Gmail/G Suite功能欺骗任何Gmail或G Suite客户的身份。

使用此功能转发电子邮件的好处是Gmail/G Suite还可以根据SPF和DMARC安全标准验证被欺骗的转发邮件，从而帮助攻击者验证伪造邮件。请参阅Husain下面的图表，了解如何组合这两个bug。

图片：艾莉森·侯赛因

侯赛因说：“此外，由于信息来源于谷歌的后端，所以垃圾邮件的得分也很可能较低，因此应该减少过滤次数。”同时也指出，这两个错误仅适用于谷歌。

如果漏洞未被修补，ZDNet无疑会被电子邮件垃圾邮件组、BEC诈骗者和恶意软件发行商广泛采用。

谷歌的缓解措施已经部署在服务器端，这意味着gmail和G Suite客户不需要做任何事情。

猜你喜欢  

【安全圈】公安部“净网行动”抓捕江西传奇至尊等多家IDC五百余人

【安全圈】欧盟或推迟Twitter 数据泄露隐私案调查

【安全圈】研究人员对恶意AWS社区发出警报

【安全圈】特斯拉APP被曝安全漏洞

【安全圈】前 Uber 安全主管被控支付黑客封口费

【安全圈】App上的隐私贩卖：窥探别人卧室 微型摄像头月销上万

【安全圈】骚扰短信提供线索！武汉网警打掉一个“黑客”团伙

【安全圈】南非益百利披露数据泄露影响2400万客户

【安全圈】涉案 3000 余万！苏州破获虚拟货币黑客案

【安全圈】如何发现家庭摄像机是否有被黑客入侵

【安全圈】5G时代新威胁：黑客攻击破解VoLTE加密，能监听电话

你点的每个赞，我都认真当成了喜欢