精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

一位來自羅馬尼亞的bug獵手從谷歌公司的官方bug追蹤工具中發現了三項安全缺陷，其中一項已經被用于向未授權入侵者泄露與漏洞相關的敏感信息。

發現這一問題的研究人員名為Alex Birsan（亞歷克斯·伯桑），其解釋稱最后一項安全缺陷可謂“谷歌bug中的圣杯”，因為其允許攻擊者訪問谷歌產品中各類尚未得到解決的安全漏洞。

一旦被對方掌握，攻擊者將能夠利用這些安全缺陷實現自己的目的，或者將此類信息通過黑市進行出售，最終導致數億谷歌用戶面臨巨大風險。

這三項缺陷影響到谷歌的Issue Tracker——亦被稱為Buganizer，這是一款類似論壇的應用程序，負責追蹤谷歌產品中的錯誤報告與安全漏洞。

Birsan在接受采訪時解釋稱，“Buganizer是谷歌公司的中央bug追蹤系統，很可能亦包含有谷歌內部系統的漏洞信息。”但Birsan表示，只進行了最低限度的嘗試以確認這項漏洞真實存在，并無法100%確定。他查看了幾項連續bug ID，實際本無權訪問這些信息。但必須承認，目前的狀況是只要愿意還可以查看大量其他有趣的資訊。

通常情況下，只有谷歌員工與bug獵手才能訪問Buganizer——而他們一般會接受嚴格的訪問限制，包括僅接觸與其報告或者所需要修復的漏洞相關的內容。

效力于一家羅馬尼亞網絡安全企業的Python開發人員Birsan指出，他在今年9月27日至10月4日之間的業余時段內發現了這些bug。這三項問題分別為：

一種利用Buganizer通用電子郵件地址命名模式注冊@google.com郵件地址的方式。

一種通過訂閱及通知接收了解他本無權接觸的bug信息的方式。

一種欺騙Buganizer API以訪問每項bug信息的方式。

谷歌公司為第一項bug支付了3133.7美元賞金，第二項為5000美元，第三項則為7500美元（約合人民幣分別為20772元、33143元、49714元）。

Birsan在采訪中解釋稱，他在報告第三項bug后的一小時內即收到了回復。除非報告事態確實相當重大，否則bug獵手們一般不會在這么短的時間內即得到回復。

谷歌公司應該暗自慶幸，因為這些問題被一位出色的bug獵手及時發現。

2014年，微軟公司的內部漏洞數據庫曾經被攻擊者入侵，而Mozilla公司也在2015年遭遇到類似的事故。

盡管攻擊者此前有可能已經開始訪問敏感bug報告，但Birsan在一篇帖子中解釋道，攻擊者很難確定任何可用的安全缺陷。攻擊者必須花費大量精力每小時篩選數千份bug報告。Birsan同時發現谷歌公司的數據庫每小時會接收到2000到3000項新問題。

此外，Birsan稱自己的漏洞報告可能在一小時內被核實，漏洞很可能在這期間被修復。以此他判斷谷歌出現的安全缺陷影響會降到最低。