原标题:18岁大学生找出Google App Engine重大RCE漏洞,抱走3.6万美元奖金
图片来源:一位年仅18岁的大学生因为揭露了Google△App△Engine重大的远端程式码执行(remote△code△engine, RCE)漏洞,而获得Google颁发$36,337美元的奖金。
Google△App△Engine△(GAE) 是Google云端代管运行及开发客户web△app的平台。这名现在就读乌拉圭民主大学的学生Ezequiel△Pereira今年2月使用GAE时准备上传其开发的app时,无意间成功登入GAE测试用的部署环境,发现该平台针其特定呼叫回传的讯息暴露了内部的API。之后经过几次测试,他已能对代管于其上的app执行一般外部使用者无法执行的行为。
他于是经过Google的漏洞奖励方案回报,Google随后回应认为该漏洞为RCE漏洞,重要性列为P1 ,P1是指称漏洞影响广大用户,需尽速修补。这名大学生持续测试其他API的同时,接到Google要求他停止测试的讯息,因为“利用这些内部API可能轻易造成毁损。”到3月为止,他经由这个漏洞一共发现2个内部API。
根据Google漏洞奖励方案,发现RCE漏洞可获得$31,337美元奖金。
连同该RCE漏洞Pereira还通报了另一项风险较小、价值5,000美元的漏洞。总计他获得Google的奖金为$36,337美元。Google已在5月16日修补了这项RCE漏洞。
相关:
Google Kubernetes引擎1.10版正式上线,还能支援虚拟私有云
图片来源: Google 各大公云厂商近日都有加强支援Kubernetes布局的策略,微软在Build大会就宣布加强Kubernetes,只要点击操作就能完成丛集建置;甲骨文容器引擎也升级,Kubernetes也能靠GPU执行高速运算;Rackspace则
近年Google不断强化自家云端平台的AI功能,2017年3月时,Google先在GCP上发布正式版的机器学习服务Cloud△Machine△Learning△Engine,并开始支援GPU训练模型,到了去年Google△I/O,又推TPU运算云服务,首度将自家机
示意图,与新闻事件无关。 Google的Project△Zero团队在今年1月对外公开了存在于CPU上的推测执行瑕疵,当时研究人员指出该瑕疵衍生出CVE-2017-5753、CVE-2017-5715与CVE-2017-5754等3个变种漏洞,但Arm、Google与微
据中国之声《新闻纵横》报道,这些天,郑州空姐滴滴顺风车案引发社会广泛讨论,滴滴平台管理存在哪些漏洞?乘坐滴滴顺风车到底还安不安全?滴滴出行公司近日首次正面回应,首席发展官李建华坦言,案件中的犯罪嫌疑人
《60分钟》揭露Google独占性,美国财政部长呼吁司法部展开调查
示意图,与新闻事件无关。 美国哥伦比亚广播公司(CBS)在本周日(5/20)播出的《60分钟》(60 Minutes)以“Google的势力”(The△Power△of△Google)为题,探讨Google的垄断行为,美国财政部长Steve△Mnuchin随