聚焦源代码安全,网罗国内外最新资讯!
作者:Catalin Cimpanu
翻译:360代码卫士团队
Birsan认为这个严重的缺陷是“谷歌漏洞的圣杯”,因为攻击者可借此访问谷歌产品中尚未修复的漏洞。
攻击者可利用这些缺陷为自己所用,或者将这些信息在暗网出售牟取暴利,导致数千万谷歌用户冒风险。
利用缺陷访问敏感漏洞报告
这三个缺陷影响谷歌问题追踪系统即Buganizer,它是一个论坛性质的应用程序,可追踪针对谷歌产品的漏洞报告和安全缺陷。Birsan表示,Buganizer是谷歌的中心漏洞追踪系统,因此很可能其中也包含着针对谷歌内部系统的漏洞。
他指出,自己无法百分之百地认定这一点,不过经过最小范围验证了这些漏洞的真实性。他看到了在正常情况下本不应当看到的几个连续漏洞编号。他表示其中存在更有价值信息的几率很高。
通常,只有谷歌员工和漏洞猎手才能访问Buganizer,而且他们的访问权限设置通常都很严格,只能访问自己提交的漏洞或者应该修复的漏洞。
三个缺陷存在于谷歌的漏洞追踪app中
Birsan在一家罗马尼亚安全公司任职Python开发人员,他是在9月27日至10月4日期间下班时段发现这些问题的:
l 通过Bugaziner通用邮件地址命名规则注册一个@google.com邮箱地址的方式
l 订阅和接受漏洞提醒的方式,而这在正常情况下他是看不到的
l 诱骗Buganizer API让他访问所有漏洞情况的方式
他因这三个漏洞分别获得谷歌提供的3133.7美元、5000美元和7500美元的奖励。Birsan表示自己提交完第三个缺陷一小时后,收到了“抓得很好!”的恢复。漏洞猎手通常并不会得到如此快速的回复,除非提交的问题比较大。
严重程度低于微软和Mozilla类似安全事件
谷歌可以说非常幸运,因为漏洞猎手找到了这些漏洞。2014年,一名攻击者未经授权访问了微软的内部漏洞数据库,Mozilla在2015年也遭遇类似事件。
尽管攻击者可能已经访问了敏感的数据报告,但Birsan解释称攻击者识别出有用缺陷很难。攻击者必须每个小时遍历数千份漏洞报告,Birsan指出每个小时提交的新问题报告在2000到3000个。
另外,Birsan指出他提交的漏洞报告已被分类,很可能在一小时之内就已经修复。
Mantis漏洞追踪器现XSS漏洞 公司0day漏洞险遭利用
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/flaws-in-googles-bug-tracker-exposed-companys-vulnerability-database/