谷歌在 Gmail 漏洞公布七小时后部署了缓解措施
早在 4 个月前,安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是,尽管给足了 137 天的时间,谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是,在 Allison Husain 将详情公布后不久,谷歌团队就于 7 小时内在服务器端部署了缓解措施,以便能够撑到 9 月的正式修复。
据悉,该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。
此外 Allison Husain 指出,该 bug 还使得邮件附件能够骗过发件人策略框架(SPF)和基于域的消息身份验证(DMARC)这两项更先进的邮件安全标准。
遗憾的是,搜索巨头在漏洞修复上有些不够积极,甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码,谷歌工程师才于昨日改变了主义。
博文上线 7 小时后,谷歌向 Allison Husain 表示,该公司已在服务器端部署了缓解措施。
至于这个 Gmail(G Suite)Bug 本身,实际上是两个因素的结合,首先是攻击者可将欺骗性的电子邮件发送到后端网关。
其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发,同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。
利用此功能转发的好处是,Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端,其垃圾邮件评分也可能较低,从而减少了被过滤系统拦截的可能。
Allison Husain 指出,这两个 bug 都是谷歌独有,如果漏洞未得到及时修补,其很有可能被恶意邮件发送者滥用。庆幸的是,通过在服务器端部署缓解措施,用户这边无需执行任何附加操作。
(稿源:cnBeta,封面源自 *** )
“谷歌在 Gmail 漏洞公布七小时后部署了缓解措施” 的相关文章
DLL 反制:安全研究人员提出阻止勒索软件加密文件的新策略
尽管恶意软件开发者擅长利用各种软硬件漏洞来达成目的,但他们散播的成品也并非毫无破绽。比如近日,安全研究人员 John Page(又名 hyp3rlinx)就介绍了一招反制勒索软件的新套路。由个人网站和 Twitter 账号上发布的内容可知,John Page 专精于找到恶意软件本身的漏洞,并于近日分...
可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
YouTube上的 Valorant 骗局:RedLine 感染
Hackernews 编译,转载请注明出处: 韩国安全分析人士在YouTube上发现了一场恶意软件传播活动,攻击者使用Valorant当做诱饵,诱骗玩家下载RedLine——一个强大的信息窃取工具。 这种类型的滥用是相当普遍的,因为黑客发现绕过YouTube的新内容提交审核,或者在被举报和禁号时创...
英国监管机构要求运营商关闭加密货币 ATM 机
在英国,购买比特币最简单、最匿名的方式之一是前往选定的商店,使用比特币自动取款机,你只需存入现金,然后将比特币发送到你的比特币钱包。英国金融行为监管局(FCA)现在正命令经营这些自动取款机的公司关闭它们,因为它们没有实施旨在防止洗钱的KYC措施。 要在英国运营,加密货币自动取款机应在FCA注册,并...
Google Drive 开始向用户警告其托管的可疑文件
Google周四宣布,当用户打开托管在Google硬盘上的潜在可疑或危险文件时,它会开始警告用户。“我们将显示一个警告横幅,以帮助保护[用户]和他们的组织免受恶意软件、网络钓鱼和勒索软件的侵害。此前打开Google文档、表单、幻灯片和绘图时,已经有了这些警告。” 这次安全功能升级是完全被动的,管理...
俄对乌克兰展开新一轮恶意软件攻击
Hackernews 编译,转载请注明出处: 网络安全公司ESET 和Broadcom的Symantec表示,他们发现了一种新的数据雨刷恶意软件,用于对乌克兰数百台电脑的新一轮攻击。俄罗斯军队正式对乌克兰展开全面军事行动。 这家斯洛伐克公司将这款雨刷命名为”HermeticWi...
评论列表
发表评论
