События

Уязвимость в платформе Google позволяла получить список уязвимостей в продуктах компании

Исследователь Алекс Бирсан (Alex Birsan) обнаружил ряд проблем с безопасностью в корпоративной платформе Google Issue Tracker, куда вносятся все данные о неисправленных уязвимостях в продуктах Google. Самая серьезная из них позволяла получить доступ к платформе и похитить список незакрытых уязвимостей. Бирсан сообщил Google о своей находке, и компания оперативно выпустила обновление для платформы. Какие-либо свидетельства эксплуатации злоумышленниками обнаруженных исследователем уязвимостей на данный момент отсутствуют.

В общей сложности Бирсан обнаружил три уязвимости. Как упоминалось выше, наихудшая их них позволяла получить доступ к Google Issue Tracker и видеть каждый полученный Google от исследователей отчет об уязвимостях в своих продуктах.

Как правило, доступ к платформе, которую в компании также именуют Buganizer System, есть только у сотрудников Google. Сторонним исследователям предоставляется только доступ к некоторым разделам, например, к вносимым ими отчетам об уязвимостях. Однако Бирсану удалось обойти ограничения и подписаться на любой раздел платформы и видеть подробности о каждой внесенной в базу данных уязвимости.

По словам Бирсана, Google сделала возможным для сторонних исследователей отписываться от электронной рассылки. Человек отписывался, и в качестве последнего сообщения ему приходили подробности о внесенном им отчете об уязвимости. Однако у механизма был серьезный недостаток – он не проверял, действительно ли пользователь изначально имел доступ к разделу, от которого отписывался. Таким образом, любой желающий мог «отписаться» от раздела, на который никогда не был подписан, и получить данные об уязвимостях.

Источник

Автор: Сергей Куприянов
31.10.2017 (09:49)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.