安全研究員利用漏洞訪問谷歌的問題跟蹤系統
據主機板公司報道,谷歌有一個名為googleissuetracker的內部平臺,它可以跟蹤一系列錯誤和未修補的漏洞,但該平臺本身有一個錯誤,允許一名安全研究人員訪問列表中的任何內容。這將允許有人檢視所有谷歌要求的功能和未修補的漏洞,有可能讓駭客利用這些資訊。此後,谷歌修補了這一缺陷。
安全研究人員alexbirsan能夠透過一個函式訪問這些資訊,該函式允許外部研究人員取消訂閱有關特定問題的電子郵件列表。一旦取消訂閱,系統將在最終響應中傳送錯誤的詳細資訊。系統首先假設使用者擁有許可權,因此Birsan發現,如果他從從未實際訂閱過的特定列表中取消訂閱,他仍然可以獲得不同漏洞的詳細資訊。Birsan能夠在問題追蹤器上看到漏洞報告以及“其他所有內容”。
Birsan告訴主機板:“利用這個漏洞,你可以訪問任何人傳送給谷歌的每一個漏洞報告,直到他們發現你在監視他們。”將這些漏洞報告轉化為有效攻擊也需要一些時間/技能。但影響越大,谷歌修複的速度就越快。因此,即使你運氣好,一接到報案就抓到一個好的,你還是要對如何處理它有一個計劃。”
谷歌在Birsan通知他們漏洞的一小時內就修補了這個漏洞。”我們感謝亞歷克斯的報告。我們已經修補了他報告的漏洞,以及它們的變種,”谷歌發言人在給主機板的電子郵件宣告中說。
- 發表於 2021-06-22 01:04
- 閱讀 ( 24 )
- 分類:網際網路
你可能感興趣的文章
熔燬和幽靈使每個cpu都容易受到攻擊
2017年對網路安全來說是糟糕的一年。勒索軟體的興起主導了今年早些時候,而資料洩露(包括臭名昭著的Equifax駭客攻擊)繼續有增無減。 ...
android與iphone:2017年哪個更安全?
...在你衝出去搶一個或另一個之前,想想這個:哪一個是最安全的智慧**作業系統?是安卓裝置,還是iPhone? ...
谷歌將在雲端儲存醫療資料:這是好還是壞?
...規。然而,許多人擔心谷歌聚合大約5000萬患者的資料的安全和隱私問題。 ...
如何在android上更新googleplay服務
... 為此,請訪問上面提到的設定中的googleplay服務條目。展開“高階”部分,然後輕按“應用程式詳細資訊”以開啟其在Play Store上的頁面。如果你在**上,你可以開啟谷歌播放服務播...
iphone漏洞如何允許網站入侵ios裝置
...現,它針對iPhone裝置透過網站多年。谷歌宣佈,作為其零安全分析任務的一部分,谷歌已經發現了這個問題,並顯示了駭客如何在兩年內訪問數千臺裝置。 ...
如何透過在android應用程式中發現安全問題來賺取現金
如果你是一個Android應用程式開發人員,對安全問題有敏銳的嗅覺,那麼把你的技能借給谷歌就可以得到報酬。駭客們成功地在谷歌Play商店植入了被惡意軟體感染的應用程式,其中一些應用程式獲得了數百萬次下載。 ...
3安卓運動感測器安全隱患及安全防範措施
即使你在使用**和其他裝置時對安全性很小心,仍然存在你可能沒有意識到的風險。安全研究人員定期發現新的威脅,可能會允許惡意行為者訪問您的個人資料。 ...
萬豪國際遭遇5億記錄資料洩露
在網路安全、網路隱私和資料保護領域,每個月都有這麼多事情發生。很難跟上! ...
英特爾的幽靈漏洞像幽靈一樣從過去重現
...已經被排除在主要新聞週期之外,但這種情況即將改變。安全研究人員發現了影響英特爾CPU的8個新的幽靈式漏洞,將幽靈推回到安全的聚光燈下。 ...
新的amd ryzen漏洞是真實的:您需要了解的內容
... 以色列安全公司CTS實驗室披露了13個關鍵漏洞。這些漏洞影響AMD的Ryzen workstation、Ryzen Pro、Ryzen mobile architecture和EPYC伺服器處理器。此外,這些漏洞與Spectre/Meltdown有相似之處,允...
