谷歌修复了发现Gmail四个月后的严重安全漏洞

时间：2020-08-25 10:51:30来源：互联网

Gmail最近发生了严重的故障，影响了全球数百万人。但是，流行的电子邮件客户端一旦重新上线，便修复了其明显的安全漏洞之一。据报道，该错误同时影响了Gmail和G Suite电子邮件服务器。有趣的是，这个问题是Google在今年4月发现的。直到现在(几个月后)，此问题才得到修复。

正如安全研究员艾莉森·侯赛因(Allison Husain)所提到的那样，该错误可能使黑客能够代表任何Gmail或G Suite用户发送欺骗邮件。侯赛因在博客中说：“此问题是Google独有的错误，它使攻击者可以像其他用户或G Suite客户一样发送邮件，同时仍通过最严格的SPF和DMARC规则。”

补充说，尽管谷歌计划在9月发布修复程序，但它在公开发布后的7个小时内推出了该补丁程序。考虑到这家搜索巨头本身给公司提供了90天的期限，这是令人惊讶的，因为它的漏洞发现零号项目团队发现了它。90天的期限过后，有关该错误的所有详细信息都将公开，无论公司是否进行了修补。但这似乎不适用于Google自己的情况。

侯赛因提供了有关该错误的详细信息，他说：“通过将G Suite邮件验证规则中损坏的收件人验证与入站网关链接在一起，我能够使Google的后端重新发送任何收到邮件时被欺骗的域的邮件。”他补充说：“如果攻击者打算假冒的受害者也使用Gmail或G Suite，这对攻击者来说是有利的，因为这意味着Google后端发送的邮件将同时通过SPF和DMARC，因为使用G Suite的性质，配置为允许Google的后端从其域发送邮件。”

作为由提到网易科技，该补丁已经从服务器端推出，这样，Gmail或G Suite用户不必做任何事情。