時間:2017-11-01 來源:互聯網 瀏覽量:
穀歌公司內部平台問題追蹤(Issue Tracker)係統近日被安全研究員曝出漏洞,利用這項漏洞攻擊者可破解並獲得該係統的訪問權限,這能夠讓攻擊者訪問更多穀歌內部收到的功能建議和未修補漏洞詳細報告,如果攻擊者利用這些信息,會得到更多可利用的漏洞,造成更大的潛在威脅。在安全專家Alex Birsan通知穀歌後,穀歌在一小時內修補了該漏洞。
安全專家Alex Birsan公開了關於漏洞的細節,他發現利用一個函數調用能夠讓外部人員取消穀歌特定故障係統郵件列表的訂閱,一旦取消訂閱,係統就會認定該用戶擁有高權限,從而向其發送漏洞詳細細節的正式報告。而且Birsan還發現當他利用該函數調用取消一個他此前未訂閱過的郵件列表,他也會獲得關於該列表的所有漏洞細節。
也就是說Birsan能夠通過該方法調取涉及任何穀歌產品其它問題的故障詳細報告,隻要穀歌接收過關於此問題的漏洞報告。Birsan認為利用這些報告,黑客能夠找到許多未被公開的漏洞,發動更具威脅性的攻擊。根據安全界協議,Birsan向穀歌報告了此漏洞,穀歌在一小時內迅速進行了修補。
