USD 78.84 ЕВРО 93.01

Другие новости

От общей цели до дружеской атмосферы: секреты командной работы

11 лет цифровой трансформации нотариата

Количество пользователей 5G-A в Китае достигло 10 млн: Huawei демонстрирует развитие 5G-A и ценность ИИ на основе сценариев 

Для юных гостей фестиваля «Театральный бульвар» подготовили специальную программу

В рамках «Лета в Москве» пройдет новый сезон волонтерского проекта «Время добра»

Предприниматели тоже люди: как хобби помогают сохранять здравый смысл в бизнесе

Все новости

Исследователь безопасности эксплуатирует баг для доступа к системе отслеживания уязвимостей Google

Экономика

Данный баг позволяет получить доступ ко всем сообщениям об уязвимостях, которые кто-либо отправляет в Google. Google исправила баг в течение часа, узнав о данном эксплойте.

У Google есть внутренняя платформа под названием Google Issue Tracker, которая отслеживает список багов и непропатченных уязвимостей, но сама эта платформа имела баг, который позволил одному исследователю безопасности получить доступ ко всему списку уязвимостей. Он позволяет просмотреть все запрошенные функции Google и непропатченные баги, что потенциально позволяет хакерам использовать эту информацию. Google уже исправила эту уязвимость.

Исследователь безопасности Алекс Бирсан смог получить доступ к этой информации, используя функцию, которая позволяет сторонним исследователям отказываться от подписки на рассылки по конкретным вопросам. После отмены подписки система отправляет детальную информацию о баге в окончательном ответе. Система предполагала, что у пользователя уже было разрешение. Бирсан обнаружил, что, если он отказывался от подписки на определенный список, на который он никогда не был подписан, он все равно мог получить информацию о различных уязвимостях. Бирсан смог увидеть отчеты об уязвимостях вместе со «всем остальным» в Issue Tracker.
«Эксплуатация этого бага дает доступ ко всем отчетам об уязвимостях, которые отправляются в Google», сказал Бирсан. «Использование этих отчетов об уязвимостях в рабочих атаках также требует некоторого времени/умения, но чем больше влияние, тем быстрее баг исправляется компанией Google. Поэтому, даже если вам повезет поймать что-то стоящее, как только о нем будет сообщено, вам все равно придется иметь план того, что с ним делать».
Google исправила баг в течение одного часа после того, как Бирсан уведомил об этом эксплойте. «Мы высоко оцениваем сообщение Алекса. Мы исправили уязвимости, о которых он сообщил, а также их вариации»,  сказал представитель Google.