USD 74.44 ЕВРО 90.37

Другие новости

Олег Сирота просит Сергея Аксенова взять на личный контроль проблему крымского сыродела

Украина заблокирует более 400 сайтов

«У нас есть доказательства, но мы их вам не покажем»: США снова обвиняют Россию, теперь в кибератаках

American Wave Machines, Inc. объявляет о завершении строительства PerfectSwell® Shizunami

Восходящая звезда _nastenkova_ покорила аудиторию TikTok

Проект «Математическая вертикаль» запустят в старших классах столичных школ

Все новости

Исследователь безопасности эксплуатирует баг для доступа к системе отслеживания уязвимостей Google

Экономика

Данный баг позволяет получить доступ ко всем сообщениям об уязвимостях, которые кто-либо отправляет в Google. Google исправила баг в течение часа, узнав о данном эксплойте.

У Google есть внутренняя платформа под названием Google Issue Tracker, которая отслеживает список багов и непропатченных уязвимостей, но сама эта платформа имела баг, который позволил одному исследователю безопасности получить доступ ко всему списку уязвимостей. Он позволяет просмотреть все запрошенные функции Google и непропатченные баги, что потенциально позволяет хакерам использовать эту информацию. Google уже исправила эту уязвимость.

Исследователь безопасности Алекс Бирсан смог получить доступ к этой информации, используя функцию, которая позволяет сторонним исследователям отказываться от подписки на рассылки по конкретным вопросам. После отмены подписки система отправляет детальную информацию о баге в окончательном ответе. Система предполагала, что у пользователя уже было разрешение. Бирсан обнаружил, что, если он отказывался от подписки на определенный список, на который он никогда не был подписан, он все равно мог получить информацию о различных уязвимостях. Бирсан смог увидеть отчеты об уязвимостях вместе со «всем остальным» в Issue Tracker.
«Эксплуатация этого бага дает доступ ко всем отчетам об уязвимостях, которые отправляются в Google», сказал Бирсан. «Использование этих отчетов об уязвимостях в рабочих атаках также требует некоторого времени/умения, но чем больше влияние, тем быстрее баг исправляется компанией Google. Поэтому, даже если вам повезет поймать что-то стоящее, как только о нем будет сообщено, вам все равно придется иметь план того, что с ним делать».
Google исправила баг в течение одного часа после того, как Бирсан уведомил об этом эксплойте. «Мы высоко оцениваем сообщение Алекса. Мы исправили уязвимости, о которых он сообщил, а также их вариации»,  сказал представитель Google.