Importante faille Gmail : Google met 137 jours pour la corriger
Le 31 août 2020 à 08h45
2 min
Internet
Internet
Sur son blog, Allison Husain explique avoir informé l'entreprise le 3 avril 2020 d’une vulnérabilité dans sa messagerie. Elle a découvert un problème dans la configuration permettant « à un attaquant d'envoyer des e-mails en se faisant passer pour n'importe quel autre utilisateur ou client G Suite, tout en passant à travers les règles SPF et DMARC les plus restrictives ».
Le 16 avril, Google accepte la soumission. Quatre mois plus tard, rien n’a bougé. Allison Husain prévient alors de son intention de publier sa découverte en fixant une date butoir au 17 août. Quatre jours plus tard, le 5 août Google répond qu’un « correctif est en préparation et indique que certaines atténuations devraient être mises en place avant le 17 août ».
Finalement, le 14 août le ticket d’incident est mis à jour, le correctif est prévu pour le 17… septembre. La chercheuse décide de ne pas attendre plus longtemps. 137 jours après la découverte, le 19 août, la faille est dévoilée publiquement. Il ne faudra alors que quelques heures à Google pour la boucher.
C’est un peu l’histoire de l’arroseur arrosé étant donné que Google est le premier à imposer un délai de 90 jours (parfois extensibles sous la forme d’une période de grâce) pour la résolution de bugs et à publier des détails, que la brèche soit corrigée ou non.
Le 31 août 2020 à 08h45
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/08/2020 à 09h19
C’est marrant cette news quand lit le brief “en ligne” : Next INpact
Le 31/08/2020 à 14h33
Surtout que corriger une faille dans un service en ligne est beaucoup + simple que de corriger une faille dans un OS.
Le 31/08/2020 à 12h47
Tous les mêmes, voir aussi la news Safari / Apple dans ce brief 😂