谷歌公司内部平台问题追踪(Issue Tracker)系统近日被安全研究员曝出漏洞,利用这项漏洞攻击者可破解并获得该系统的访问权限,这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告,如果攻击者利用这些信息,会得到更多可利用的漏洞,造成更大的潜在威胁。在安全专家Alex Birsan通知谷歌后,谷歌在一小时内修补了该漏洞。
安全专家Alex Birsan公开了关于漏洞的细节,他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅,一旦取消订阅,系统就会认定该用户拥有高权限,从而向其发送漏洞详细细节的正式报告。而且Birsan还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表,他也会获得关于该列表的所有漏洞细节。也就是说Birsan能够通过该方法调取涉及任何谷歌产品其它问题的故障详细报告,只要谷歌接收过关于此问题的漏洞报告。Birsan认为利用这些报告,黑客能够找到许多未被公开的漏洞,发动更具威胁性的攻击。根据安全界协议,Birsan向谷歌报告了此漏洞,谷歌在一小时内迅速进行了修补。
安全优佳
http://news.secwk.com
长按识别左侧二维码,关注我们
本文始发于微信公众号(安全优佳):安全专家曝谷歌内部问题追踪系统漏洞 谷歌一小时内修复
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论