Gmail 四月份爆出漏洞遲遲不修 研究人員八月公布漏洞後七小時內急修好

在研究人員公佈一個影響Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google在7小時內就修補好。

在研究人員公佈一個影響 Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google 在 7 小時內就修補好。

發現這個漏洞的安全研究人員 Allison Huasain 指出,問題元兇出在 Google 的郵件流程 (routing) 驗證瑕疵,駭客得以用 G Suite 轉寄信件,包括冒名信件,連 DMARC/SPF 郵件安全驗證也檢查不出來,讓冒牌郵件以假亂真。

Husain 發現這項漏洞後在今年 4 月 3 日通報 Google。

她解釋,攻擊者使用郵件閘道寄發郵件,中間利用 Google(Gmail 或 G Suite)伺服器轉發。只要利用 Google 郵件驗證規則的收件者驗證不足漏洞,攻擊者就能把信件傳到收件者郵件伺服器,利用一般郵件伺服器對 Google 的信任,而繞過 DMARC/SPF 檢查。

研究人員還說,如果攻擊者想冒充的對象同時也有 Gmail 或 G Suite 帳號的話更好,因為其網域會被設定允許 Google 後端代其傳送郵件,而使這些郵件更容易通過 SPF 和 DMARC。此外,由 Google 後端傳送的郵件一般比較不會被安全軟體判斷為垃圾郵件而過濾、攔截。

根據 Husain 公佈的時間軸,Google 4 月 16 日接受其通報的漏洞,但僅列為低風險,也沒有立即修補。但事實上,Google 到了 8 月初還是沒有修補。8 月 17 日研究人員通知 Google 將公佈漏洞,因為已經超過了 Google 的 90 天緘默期規定,迫使 Google 提前在 9 月 17 日釋出修補程式。8 月 19 日,Husain 在通報後的 137 天正式公開漏洞細節。而在 Husain 的文章上線 7 小時後,Google 也釋出了修補程式。

來源:Bleeping Computer

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416