继Microsoft、Mozilla之后,Google漏洞数据库再遭泄漏

背景介绍

一个罗马尼亚的漏洞猎人在谷歌官方的bug追踪系统中发现了三个缺陷,其中一个可能允许未经授权的入侵者读取敏感的漏洞信息。

发现这些缺陷的研究人员Alex Birsan,是一家罗马尼亚网络安全公司的员工,一名Python开发者,他将最后这个缺陷描述为“谷歌漏洞的圣杯”(“Holy Grail of Google bugs”),因为利用该漏洞将允许攻击者访问那些谷歌产品中尚未修复的漏洞信息。攻击者可以自行利用这些漏洞,或者在暗网市场中高价出售,数亿的谷歌用户将陷入风险之中。

漏洞信息的截图如下所示:

缺陷导致敏感的Bug报告泄漏

谷歌内部使用一个名为“Buganizer”的系统(一个类似论坛的应用系统)集中地跟踪Google产品的bug报告和安全缺陷问题,因此极有可能其中也包含了Google内部系统的漏洞信息。

Birsan说:“我不能100%的肯定,只能最低限度的去确认这些漏洞是真实有效的。我查看了几个连续的漏洞ID的信息,在正常情况下我是不可能看到这些信息的。我认为,这其中很可能还包含更多有意思的数据。”

通常,只有谷歌内部员工和Bug猎人才有权限进入Buganizer系统,系统有严格的准入和权限控制措施,用户只能看到他们提交的报告或他们应负责修复的报告。

缺陷描述

Birsan在9月27日到10月4日这段时间内发现了Google漏洞跟踪系统Buganizer的三个缺陷,这三个缺陷的内容概述如下:

  • 使用Buganizer系统通用的电子邮件地址的命名方案,注册一个@ @google.com的邮箱地址;

  • 以订阅的方式接收Bug的消息通知,这些信息是未授权的,该用户不应当有访问权限的;

  • 欺骗Buganizer API,授予该用户可以访问每一条bug的信息的权限。

谷歌方面对Birsan进行了奖励,第一个bug的奖金为3133.7美元,第二个bug的奖金为5000美元,第三个bug的奖金为7500美元

Birsan称,在他报告了第三个漏洞的一个小时后,收到了Google的回复“干的漂亮!”(“Nice catch!”),Google对漏洞猎人的反馈一般不会这么迅速,除非他们报告的问题是大事件。

MicrosoftMozilla的前车之鉴

据悉,Microsoft(2013年)和Mozilla(2015年)也遭遇过类似的漏洞数据库泄漏的事件,但Google比他们幸运,因为是一个Bug猎人发现了这些缺陷,而不是未知的攻击者。

Birsan还提到:“尽管攻击者存在访问敏感的bug报告的可能性,但对于攻击者而言,识别这些漏洞是否可用是一件非常困难的事情。”Birsan看到Buganizer系统每小时会添加大约2000~3000个新的bug报告,而攻击者需要对这些信息进行筛选。

此外,Birsan还说,他报告的漏洞很可能在一个小时内就被修复了,因此Google漏洞信息泄漏所能造成的威胁大为降低了。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106745.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code