![【安全圈】Google修复了主要的gmail漏洞]( "【安全圈】Google修复了主要的gmail漏洞")
![【安全圈】Google修复了主要的gmail漏洞]( "【安全圈】Google修复了主要的gmail漏洞")
谷歌(Google)周三修复了影响Gmail和G Suite电子邮件服务器的一个重大安全漏洞。
该漏洞可能允许威胁演员发送仿冒任何Gmail或G Suite客户的假邮件。
据今年4月发现并向谷歌报告这一问题的安全研究员艾莉森·侯赛因(Allison Husain)称,这一漏洞还允许攻击者将伪造的电子邮件传递给谷歌。防晒系数(发件人策略框架)及DMARC(基于域的消息认证、报告和一致性),这是两个最先进的电子邮件安全标准.
尽管已经提前了四个月,GOOGLE还是推迟了补丁程序。
然而,尽管谷歌有137天的时间来解决报告中的问题,但谷歌最初还是推迟了公布截止日期后的补丁,计划在9月份某个地方修复该漏洞。
在侯赛因之后,谷歌的工程师们昨天改变了主意。在她的博客上公布了关于这个bug的详细信息,包括概念证明代码。
在这篇博客文章发布7个小时后,谷歌告诉Husain,他们部署了缓解措施,以阻止任何利用报告问题的攻击,同时等待最终补丁在9月部署。
事后看来,昨天修补Snafu的漏洞在科技行业很常见,在这个行业,许多公司及其安全团队并不总是完全理解在有关漏洞的细节被公开之前不修补漏洞的严重性和后果,它们可能会被利用。
GMAIL(G SUITE)BUG是如何工作的
至于bug本身,问题实际上是两个因素的结合,正如Husain在她的博客文章中所解释的那样。
第一个漏洞允许攻击者将伪造的电子邮件发送到Gmail和G Suite后端的电子邮件网关。
攻击者可以在Gmail和G Suite后端运行/租用恶意电子邮件服务器,允许该邮件通过,然后使用第二个bug。
第二个错误允许攻击者设置自定义的电子邮件路由规则,接收传入的电子邮件并转发它,同时还可以使用名为“更改信封收件人”的本地Gmail/G Suite功能欺骗任何Gmail或G Suite客户的身份。
使用此功能转发电子邮件的好处是Gmail/G Suite还可以根据SPF和DMARC安全标准验证被欺骗的转发邮件,从而帮助攻击者验证伪造邮件。请参阅Husain下面的图表,了解如何组合这两个bug。
![【安全圈】Google修复了主要的gmail漏洞]( "【安全圈】Google修复了主要的gmail漏洞")
侯赛因说:“此外,由于信息来源于谷歌的后端,所以垃圾邮件的得分也很可能较低,因此应该减少过滤次数。”同时也指出,这两个错误仅适用于谷歌。
如果漏洞未被修补,ZDNet无疑会被电子邮件垃圾邮件组、BEC诈骗者和恶意软件发行商广泛采用。
谷歌的缓解措施已经部署在服务器端,这意味着gmail和G Suite客户不需要做任何事情。
![【安全圈】Google修复了主要的gmail漏洞]( "【安全圈】Google修复了主要的gmail漏洞")
【安全圈】公安部“净网行动”抓捕江西传奇至尊等多家IDC五百余人
【安全圈】欧盟或推迟Twitter 数据泄露隐私案调查
【安全圈】研究人员对恶意AWS社区发出警报
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/99985.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论