安全专家曝谷歌内部问题追踪系统漏洞,谷歌一小时内迅速修复
谷歌公司内部平台问题追踪(Issue Tracker)系统近日被安全研究员曝出漏洞,利用这项漏洞攻击者可破解并获得该系统的访问权限,这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告,如果攻击者利用这些信息,会得到更多可利用的漏洞,造成更大的潜在威胁。在安全专家 Alex Birsan 通知谷歌后,谷歌在一小时内修补了该漏洞。
安全专家 Alex Birsan 公开了关于漏洞的细节,他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅,一旦取消订阅,系统就会认定该用户拥有高权限,从而向其发送漏洞详细细节的正式报告。而且 Birsan 还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表,他也会获得关于该列表的所有漏洞细节。
这也意味着 Birsan 能够通过该 *** 调取涉及任何谷歌产品其它问题的故障详细报告,只要谷歌接收过关于此问题的漏洞报告。Birsan 认为利用这些报告,黑客能够找到许多未被公开的漏洞,发动更具威胁性的攻击。
稿源:cnBeta,封面源自 *** ;
“安全专家曝谷歌内部问题追踪系统漏洞,谷歌一小时内迅速修复” 的相关文章
Google Chrome 99.0.4844.84 紧急更新修复了已被利用的零日漏洞
Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌...
GitHub 透露:攻击者利用偷来的 OAuth 令牌入侵了几十个组织
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
报道称 SafeGraph 正在出售访问堕胎诊所的人的位置数据
根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...
泄露的 Facebook 工程师文件承认违法使用用户数据 或将面临全球收入 4% 的罚款
Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去...
FritzFrog P2P 僵尸网络攻击医疗、教育和政府部门
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者
FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...
评论列表
发表评论
