E安全11月1日讯 一位来自罗马尼亚的bug猎手从谷歌公司的官方bug追踪工具中发现了三项安全缺陷，其中一项已经被用于向未授权入侵者泄露与漏洞相关的敏感信息。

发现这一问题的研究人员名为Alex Birsan（亚历克斯·伯桑），其解释称最后一项安全缺陷可谓“谷歌bug中的圣杯”，因为其允许攻击者访问谷歌产品中各类尚未得到解决的安全漏洞。

一旦被对方掌握，攻击者将能够利用这些安全缺陷实现自己的目的，或者将此类信息通过黑市进行出售，最终导致数亿谷歌用户面临巨大风险。

“谷歌中央bug追踪系统”可访问

这三项缺陷影响到谷歌的Issue Tracker——也被称为Buganizer，这是一款类似论坛的应用程序，负责追踪谷歌产品中的错误报告与安全漏洞。

Birsan在接受采访时解释称，“Buganizer是谷歌公司的中央bug追踪系统，很可能亦包含有谷歌内部系统的漏洞信息。”但Birsan表示，只进行了最低限度的尝试以确认这项漏洞真实存在，并无法100%确定。他查看了几项连续bug ID，实际本无权访问这些信息。但必须承认，目前的状况是只要愿意还可以查看大量其他有趣的资讯。

通常情况下，只有谷歌员工与bug猎手才能访问Buganizer——而他们一般会接受严格的访问限制，包括仅接触与其报告或者所需要修复的漏洞相关的内容。

三项安全缺陷bug猎人获十万余元奖励

效力于一家罗马尼亚网络安全企业的Python开发人员Birsan指出，他在今年9月27日至10月4日之间的业余时段内发现了这些bug。这三项问题分别为：

• 一种利用Buganizer通用电子邮件地址命名模式注册@google.com邮件地址的方式。

• 一种通过订阅及通知接收了解他本无权接触的bug信息的方式。

• 一种欺骗Buganizer API以访问每项bug信息的方式。

谷歌公司为第一项bug支付了3133.7美元赏金，第二项为5000美元，第三项则为7500美元（约合人民币分别为20772元、33143元、49714元）。

Birsan在采访中解释称，他在报告第三项bug后的一小时内即收到了回复。除非报告事态确实相当重大，否则bug猎手们一般不会在这么短的时间内即得到回复。

谷歌内部处理BUG效率高

谷歌公司应该暗自庆幸，因为这些问题被一位出色的bug猎手及时发现。

2014年，微软公司的内部漏洞数据库曾经被攻击者入侵，而Mozilla公司也在2015年遭遇到类似的事故。

尽管攻击者此前有可能已经开始访问敏感bug报告，但Birsan在一篇帖子中解释道，攻击者很难确定任何可用的安全缺陷。攻击者必须话费大量精力每小时筛选数千份bug报告。Birsan同时发现谷歌公司的数据库每小时会接收到2000到3000项新问题。

此外，Birsan称自己的漏洞报告可能在一小时内被核实，漏洞很可能在这期间被修复。以此他判断谷歌出现的安全缺陷影响会降到最低。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/477901670.shtml

▼点击“阅读原文” 查看更多精彩内容