谷歌在 Gmail 漏洞公布七小时后部署了缓解措施
早在 4 个月前,安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是,尽管给足了 137 天的时间,谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是,在 Allison Husain 将详情公布后不久,谷歌团队就于 7 小时内在服务器端部署了缓解措施,以便能够撑到 9 月的正式修复。
据悉,该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。
此外 Allison Husain 指出,该 bug 还使得邮件附件能够骗过发件人策略框架(SPF)和基于域的消息身份验证(DMARC)这两项更先进的邮件安全标准。
遗憾的是,搜索巨头在漏洞修复上有些不够积极,甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码,谷歌工程师才于昨日改变了主义。
博文上线 7 小时后,谷歌向 Allison Husain 表示,该公司已在服务器端部署了缓解措施。
至于这个 Gmail(G Suite)Bug 本身,实际上是两个因素的结合,首先是攻击者可将欺骗性的电子邮件发送到后端网关。
其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发,同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。
利用此功能转发的好处是,Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端,其垃圾邮件评分也可能较低,从而减少了被过滤系统拦截的可能。
Allison Husain 指出,这两个 bug 都是谷歌独有,如果漏洞未得到及时修补,其很有可能被恶意邮件发送者滥用。庆幸的是,通过在服务器端部署缓解措施,用户这边无需执行任何附加操作。
(稿源:cnBeta,封面源自 *** )
“谷歌在 Gmail 漏洞公布七小时后部署了缓解措施” 的相关文章
研究人员通过人工智能利用推特预测粮食短缺问题
宾夕法尼亚州立大学和卡塔尔哈马德-本-哈利法大学的研究人员表示,推特上的推文所表达的情绪和情感可以被实时用来评估大流行病、战争或自然灾害供应链中断可能导致的粮食短缺。 他们发现,在COVID-19大流行的早期,在美国某些州,表达愤怒、厌恶或恐惧的与食品安全有关的推文与实际的食品不足密切相关。研究人员...
可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
Microsoft Defender 又一次误将 Google Chrome 更新视作可疑活动
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
Project Zero 报告:2021 年共发现 58 个已被黑客利用的零日漏洞
Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复...
Google Drive 开始向用户警告其托管的可疑文件
Google周四宣布,当用户打开托管在Google硬盘上的潜在可疑或危险文件时,它会开始警告用户。“我们将显示一个警告横幅,以帮助保护[用户]和他们的组织免受恶意软件、网络钓鱼和勒索软件的侵害。此前打开Google文档、表单、幻灯片和绘图时,已经有了这些警告。” 这次安全功能升级是完全被动的,管理...
跨越多代:三星修复影响上亿 Android 设备的硬件密钥安全漏洞
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...
评论列表
发表评论
