Η Google επιδιόρθωσε ένα μεγάλο κενό ασφαλείας που επηρέαζε τους mail servers του Gmail και του G Suite.
Το σφάλμα θα μπορούσε να επιτρέψει σε έναν εισβολέα να στείλει πλαστά μηνύματα που μιμούνται οποιονδήποτε πελάτη του Gmail ή του G Suite.
Σύμφωνα με την ερευνήτρια ασφαλείας Allison Husain, η οποία βρήκε και ανέφερε το πρόβλημα στην Google τον Απρίλιο, το σφάλμα επέτρεπε επίσης στους επιτιθέμενους να μεταβιβάζουν πλαστογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου σύμφωνα με το SPF (Sender Policy Framework) και το DMARC (Domain-based Message Authentication, Reporting, and Conformance ), δύο από τα πιο προηγμένα πρότυπα ασφάλειας email.
Ωστόσο, παρά το γεγονός ότι η Google είχε 137 ημέρες για να διορθώσει το πρόβλημα, καθυστέρησε τις ενημερώσεις, σχεδιάζοντας να διορθώσει το σφάλμα κάποια στιγμή τον Σεπτέμβριο.
Οι μηχανικοί της Google άλλαξαν τη γνώμη τους χθες, όταν η Husain δημοσίευσε λεπτομέρειες για το σφάλμα στο ιστολόγιό της, μαζί με ένα PoC.
Επτά ώρες μετά τη δημοσίευση η Google ανέφερε στην Husain ότι ανέπτυξε κάποιο patch για να αποκλείσει τυχόν επιθέσεις που αξιοποιούν το αναφερόμενο ζήτημα, αλλά οι εργασίες θα ολοκληρωθούν με τελικές ενημερώσεις τον Σεπτέμβριο.
Το patch της Google έχει εφαρμοστεί ήδη στον διακομιστή, κάτι που σημαίνει ότι οι χρήστες του Gmail και του G Suite δεν χρειάζεται να κάνουν τίποτα.