Gmail四月份爆出漏洞遲遲不修 研究人員八月公布漏洞後七小時內急修好

在研究人員公佈一個影響Gmail、G Suite，可讓駭客發送冒名郵件的漏洞後，Google在7小時內就修補好。

發現這個漏洞的安全研究人員Allison Huasain指出，問題元兇出在Google的郵件流程(routing)驗證瑕疵，駭客得以用G Suite轉寄信件，包括冒名信件，連DMARC/SPF郵件安全驗證也檢查不出來，讓冒牌郵件以假亂真。

Husain發現這項漏洞後在今年4月3日通報Google。

她解釋，攻擊者使用郵件閘道寄發郵件，中間利用Google （Gmail或G Suite）伺服器轉發。只要利用Google郵件驗證規則的收件者驗證不足漏洞，攻擊者就能把信件傳到收件者郵件伺服器，利用一般郵件伺服器對Google的信任，而繞過DMARC/SPF檢查。

研究人員還說，如果攻擊者想冒充的對象同時也有Gmail或G Suite帳號的話更好，因為其網域會被設定允許Google後端代其傳送郵件，而使這些郵件更容易通過SPF和DMARC。此外，由Google後端傳送的郵件一般比較不會被安全軟體判斷為垃圾郵件而過濾、攔截。

根據Husain公佈的時間軸，Google 4月16日接受其通報的漏洞，但僅列為低風險，也沒有立即修補。但事實上，Google到了8月初還是沒有修補。8月17日研究人員通知Google將公佈漏洞，因為已經超過了Google的90天緘默期規定，迫使Google提前在9月17日釋出修補程式。8月19日，Husain在通報後的137天正式公開漏洞細節。而在Husain的文章上線7小時後，Google也釋出了修補程式。

來源：Bleeping Computer