USD 61.61 ЕВРО 62.74

Другие новости

Shanghai Electric Wind Power Group попала в топ-5 производителей ветряных турбин Китая

Компания «Р7» предоставляет школам Дагестана бесплатно работать в системе «Р7-Офис»

Выросло количество обращений к нотариусу

Москва и «Росатом» объявили конкурс для технологических стартапов

На форуме в Москве обсудили перспективы инфобизнеса в России

Как повышения ставки ЦБ влияет на покупку новостройки в ипотеку

Все новости

Исследователь безопасности эксплуатирует баг для доступа к системе отслеживания уязвимостей Google

Экономика

Данный баг позволяет получить доступ ко всем сообщениям об уязвимостях, которые кто-либо отправляет в Google. Google исправила баг в течение часа, узнав о данном эксплойте.

У Google есть внутренняя платформа под названием Google Issue Tracker, которая отслеживает список багов и непропатченных уязвимостей, но сама эта платформа имела баг, который позволил одному исследователю безопасности получить доступ ко всему списку уязвимостей. Он позволяет просмотреть все запрошенные функции Google и непропатченные баги, что потенциально позволяет хакерам использовать эту информацию. Google уже исправила эту уязвимость.

Исследователь безопасности Алекс Бирсан смог получить доступ к этой информации, используя функцию, которая позволяет сторонним исследователям отказываться от подписки на рассылки по конкретным вопросам. После отмены подписки система отправляет детальную информацию о баге в окончательном ответе. Система предполагала, что у пользователя уже было разрешение. Бирсан обнаружил, что, если он отказывался от подписки на определенный список, на который он никогда не был подписан, он все равно мог получить информацию о различных уязвимостях. Бирсан смог увидеть отчеты об уязвимостях вместе со «всем остальным» в Issue Tracker.
«Эксплуатация этого бага дает доступ ко всем отчетам об уязвимостях, которые отправляются в Google», сказал Бирсан. «Использование этих отчетов об уязвимостях в рабочих атаках также требует некоторого времени/умения, но чем больше влияние, тем быстрее баг исправляется компанией Google. Поэтому, даже если вам повезет поймать что-то стоящее, как только о нем будет сообщено, вам все равно придется иметь план того, что с ним делать».
Google исправила баг в течение одного часа после того, как Бирсан уведомил об этом эксплойте. «Мы высоко оцениваем сообщение Алекса. Мы исправили уязвимости, о которых он сообщил, а также их вариации»,  сказал представитель Google.