USD 92.51 ЕВРО 98.91

Другие новости

Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта

Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества

Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему

Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру

«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов

ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии

Все новости

Исследователь безопасности эксплуатирует баг для доступа к системе отслеживания уязвимостей Google

Экономика

Данный баг позволяет получить доступ ко всем сообщениям об уязвимостях, которые кто-либо отправляет в Google. Google исправила баг в течение часа, узнав о данном эксплойте.

У Google есть внутренняя платформа под названием Google Issue Tracker, которая отслеживает список багов и непропатченных уязвимостей, но сама эта платформа имела баг, который позволил одному исследователю безопасности получить доступ ко всему списку уязвимостей. Он позволяет просмотреть все запрошенные функции Google и непропатченные баги, что потенциально позволяет хакерам использовать эту информацию. Google уже исправила эту уязвимость.

Исследователь безопасности Алекс Бирсан смог получить доступ к этой информации, используя функцию, которая позволяет сторонним исследователям отказываться от подписки на рассылки по конкретным вопросам. После отмены подписки система отправляет детальную информацию о баге в окончательном ответе. Система предполагала, что у пользователя уже было разрешение. Бирсан обнаружил, что, если он отказывался от подписки на определенный список, на который он никогда не был подписан, он все равно мог получить информацию о различных уязвимостях. Бирсан смог увидеть отчеты об уязвимостях вместе со «всем остальным» в Issue Tracker.
«Эксплуатация этого бага дает доступ ко всем отчетам об уязвимостях, которые отправляются в Google», сказал Бирсан. «Использование этих отчетов об уязвимостях в рабочих атаках также требует некоторого времени/умения, но чем больше влияние, тем быстрее баг исправляется компанией Google. Поэтому, даже если вам повезет поймать что-то стоящее, как только о нем будет сообщено, вам все равно придется иметь план того, что с ним делать».
Google исправила баг в течение одного часа после того, как Бирсан уведомил об этом эксплойте. «Мы высоко оцениваем сообщение Алекса. Мы исправили уязвимости, о которых он сообщил, а также их вариации»,  сказал представитель Google.