Gmail四月份爆出漏洞遲遲不修 研究人員八月公布漏洞後七小時內急修好

在研究人員公佈一個影響Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google在7小時內就修補好。

在研究人員公佈一個影響Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google在7小時內就修補好。

發現這個漏洞的安全研究人員Allison Huasain指出,問題元兇出在Google的郵件流程(routing)驗證瑕疵,駭客得以用G Suite轉寄信件,包括冒名信件,連DMARC/SPF郵件安全驗證也檢查不出來,讓冒牌郵件以假亂真。

Husain發現這項漏洞後在今年4月3日通報Google。

她解釋,攻擊者使用郵件閘道寄發郵件,中間利用Google (Gmail或G Suite)伺服器轉發。只要利用Google郵件驗證規則的收件者驗證不足漏洞,攻擊者就能把信件傳到收件者郵件伺服器,利用一般郵件伺服器對Google的信任,而繞過DMARC/SPF檢查。

研究人員還說,如果攻擊者想冒充的對象同時也有Gmail或G Suite帳號的話更好,因為其網域會被設定允許Google後端代其傳送郵件,而使這些郵件更容易通過SPF和DMARC。此外,由Google後端傳送的郵件一般比較不會被安全軟體判斷為垃圾郵件而過濾、攔截。

根據Husain公佈的時間軸,Google 4月16日接受其通報的漏洞,但僅列為低風險,也沒有立即修補。但事實上,Google到了8月初還是沒有修補。8月17日研究人員通知Google將公佈漏洞,因為已經超過了Google的90天緘默期規定,迫使Google提前在9月17日釋出修補程式。8月19日,Husain在通報後的137天正式公開漏洞細節。而在Husain的文章上線7小時後,Google也釋出了修補程式。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416