谷歌公司内部平台问题追踪(Issue Tracker)系统近日被安全研究员曝出安全漏洞,利用这项漏洞攻击者可pojie并获得该系统的访问权限,这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告,如果攻击者利用这些信息,会得到更多可利用的漏洞,造成更大的潜在威胁。在安全专业人士Alex Birsan通知谷歌后,谷歌在一小时内修补了该安全漏洞。 曝谷歌内部问题追踪系统安全漏洞 图1 安全专业人士Alex Birsan公开了关于漏洞的细节,他发现利用一个函数调用能够让外部人员取消谷歌特定问题系统邮件列表的订阅,一旦取消订阅,系统就会认定该用户拥有高权限,从而向其发送漏洞详细细节的正式报告。而且Birsan还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表,他也会获得关于该列表的所有漏洞细节。也就是说Birsan能够通过该方式调取涉及任何谷歌产品其它问题的问题详细报告,只要谷歌接收过关于此问题的漏洞报告。Birsan认为利用这些报告,黑客能够找到许多未被公开的漏洞,发动更具威胁性的攻击。根据安全界协议,Birsan向谷歌报告了此安全漏洞,谷歌在一小时内快速进行了修补。 |
|Archiver|手机版|家电维修论坛
( 蜀ICP备19011473号-4 川公网安备51102502000164号 )
GMT+8, 2026-1-14 14:21 , Processed in 0.178977 second(s), 17 queries .
Powered by Discuz! X3.5
© 2001-2025 Discuz! Team.
