Google在漏洞披露7小时后修复了Gmail Bug-冯金伟博客园

  Google 曾制定了一条著名的规定:修一个漏洞给 90 天时间足够了,超过这个时间期限可以公开漏洞。现在我们知道,这个规定只适用于其他公司,不适用于 Google。安全研究员 Allison Husain 在 4 月份向 Google 报告了一个漏洞,该漏洞允许攻击者模仿任何 Gmail 或 G Suite 客户发送欺骗性邮件。

  但 Goolge 没有在 90 天时间内修复漏洞,它计划的修复时间是在 9 月份,也就是在漏洞报告 5 个月之后。

  8 月 19 日,Husain 在其个人博客上披露了漏洞细节,包括 POC 漏洞利用代码。Google 开发者在漏洞公开 7 个小时后给 Gmail  打了补丁阻止漏洞被利用,但完整补丁将在 9 月份部署。