Google臭蟲通報系統爆漏洞,自家產品重大漏洞可被看光

Google臭蟲通報系統爆漏洞,自家產品重大漏洞可被看光 一名研究人員在Google臭蟲通報系統Google Issue Tracke上找到三個漏洞,可以假冒的Google.com郵件帳號註冊、訂閱取得漏洞通知,甚至登入漏洞資料庫閱覽Google產品漏洞,甚至包括最嚴重等及的危險漏洞,獲得Google超過1.5萬美元的抓漏獎金。 文/林妍溱 | 2017-10-31發表 Google Issue Tracker被發現存在三個漏洞,可讓駭客取得Google產品的重大漏洞。 圖片來源: Google Google的內部臭蟲通報系統Issue Tracker被安全研究人員發現漏洞,可能導致外人得以一窺Google產品的漏洞資料庫,幸好在經通報後,漏洞已經由Google修補。 Google Issue Tracker一般人可能不曾聽過,因為它是Google員工使用的產品漏洞追蹤平台,內部稱之為Buganizer,但也提供安全研究人員向Google通報漏洞或特定專案合作夥伴使用。 安全研究人員Alex Birsan發現這個系統有三項漏洞,第一個能讓他利用Buganizer的帳號命名規則,成功以假冒的Google.com郵件帳號註冊Buganizer,第二個使他訂閱並獲得他無權限讀取的漏洞通知。在通報Google後,分別獲得3133.7美元及5,000美元的抓漏獎金。 第三項漏洞則讓他透過Buganizer API登入Google後台的漏洞資料庫,可以看到數千項Google產品的漏洞,包括被標示為「優先程度0」即極重大而危險的漏洞。最後一項漏洞使Birsan獲頒7,500美元的抓漏獎金。 Google方面在發出獎金的同時,也已經修補了上述三項漏洞。 根據BleepingComputer報導,Alex通報這個漏洞後一小時內就罕見地接到Google「抓得好!」(Nice catch!)的回應,顯示漏洞的風險程度。一旦攻擊者只要成功入侵這項漏洞後果極嚴重,因為他可以直接使用開採漏洞,或將資料賣入黑市殃及Google數億用戶。微軟及Mozilla都曾發生過內部漏洞資料庫遭未授權存取的事。 但他也指出,駭客要從該平台上數千個漏洞中找出可用漏洞,再將之再轉化為攻擊,其實也沒那麼容易就是了。  iThome Security

更多訊息更多資料都在這裡喔!~芙婷寶~力雪達~健康食品~地龍酵素~膠股力~葉黃素~保健食品~青春元素~血栓溶解酵素~蝦紅素~蜂王乳~磷蝦油~地龍粉~蝦青素~蜂王漿~超視王~智勝王~PPLS~蚯蚓粉~膠骨力~南極冰洋磷蝦油

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *