Google臭蟲通報系統爆漏洞,自家產品重大漏洞可被看光
Google的內部臭蟲通報系統Issue Tracker被安全研究人員發現漏洞,可能導致外人得以一窺Google產品的漏洞資料庫,幸好在經通報後,漏洞已經由Google修補。
Google Issue Tracker一般人可能不曾聽過,因為它是Google員工使用的產品漏洞追蹤平台,內部稱之為Buganizer,但也提供安全研究人員向Google通報漏洞或特定專案合作夥伴使用。
安全研究人員Alex Birsan發現這個系統有三項漏洞,第一個能讓他利用Buganizer的帳號命名規則,成功以假冒的Google.com郵件帳號註冊Buganizer,第二個使他訂閱並獲得他無權限讀取的漏洞通知。在通報Google後,分別獲得3133.7美元及5,000美元的抓漏獎金。
第三項漏洞則讓他透過Buganizer API登入Google後台的漏洞資料庫,可以看到數千項Google產品的漏洞,包括被標示為「優先程度0」即極重大而危險的漏洞。最後一項漏洞使Birsan獲頒7,500美元的抓漏獎金。
Google方面在發出獎金的同時,也已經修補了上述三項漏洞。
根據BleepingComputer報導,Alex通報這個漏洞後一小時內就罕見地接到Google「抓得好!」(Nice catch!)的回應,顯示漏洞的風險程度。一旦攻擊者只要成功入侵這項漏洞後果極嚴重,因為他可以直接使用開採漏洞,或將資料賣入黑市殃及Google數億用戶。微軟及Mozilla都曾發生過內部漏洞資料庫遭未授權存取的事。
