IT之家 1 月 2 日消息,安全公司 CloudSEK 日前发现谷歌 OAuth 账号验证系统中存在一个零日漏洞,黑客可利用过期的 cookie 数据,配合一个名为“MultiLogin”的 OAuth 端点,生成“长期有效(session)”的新 cookie,进而劫持受害者的谷歌账号。据悉,MultiLogin 端点内置于谷歌 OAuth 账号验证系统中,该端点的作用是调用谷歌账号 ID 和 auth-login token 密钥,从而实现“同步”及“无缝切换账号”功能,但谷歌的说明文件中并未提到该端点的存在。▲ MultiLogin 端点,图源 安全公司 CloudSEK 报告(下同)研究人员提到,利用相关漏洞的黑客主要通过获取受害者 Chrome 浏览器 WebData 中的 auth-lo
账号更改密码后依然可被黑客劫持,谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞
2024-01-02 12:57:20来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- 谷歌 2 小时复仇硬刚 GPT-4o:Gemini 颠覆搜索,视频 AI 对抗 Sora2024-05-16 13:24:48
- Adobe 发布更新修复旗下 Acrobat Reader / FrameMaker 等软件多项重大漏洞2024-05-16 13:51:37
- 谷歌升级安卓防盗措施:检测手机被抢劫可自动锁定等2024-05-16 13:57:06
- 谷歌安卓 15 重新设计 Overflow 音量菜单:更大滑块、更鲜艳色彩、更丰富功能2024-05-16 14:29:25
- 含 AI 工具中的“满分”漏洞,英特尔发 41 份公告修复 90 个漏洞2024-05-16 14:42:29
- AI 聊天机器人大战升温:谷歌 Gemini 预告片展示惊艳语音视频交互能力2024-05-14 18:06:23
- “面对面通话”指日可待,谷歌、惠普明年将推动全息视频聊天技术商业化2024-05-13 22:56:53
- 雷鸟创新发布Pocket TV,携手谷歌加速消费级AR眼镜迈进“iPhone时刻”2024-05-13 19:47:01
- 加速布局海外市场,雷鸟创新与谷歌达成合作|钛媒体独家2024-05-13 16:01:56
- 微软Xbox移动商店将上线,公开撬苹果、谷歌的墙脚?2024-05-12 08:32:22
- 1天猫推出 88VIP 购物月卡:可领 618 大额券,首月 8.8 元
- 2步长制药成立药妆生物科技公司 注册资本1000万
- 3Triskell Software 在《企业敏捷规划工具市场指南》中被评为 2024 年代表性供应商
- 4富士推出 GF 500mm f / 5.6 中画幅相机镜头:抗水 + 6 轴防抖,3499 美元
- 5微创软件荣获"SSCL金链奖----优秀数字化转型奖"
- 6谷歌 2 小时复仇硬刚 GPT-4o:Gemini 颠覆搜索,视频 AI 对抗 Sora
- 7国家能源集团在云南成立新能源公司 注册资本2000万
- 8蜗牛游戏宣布2024年第一季度财报业绩
- 9富士推出 XF 16-50mm f / 2.8-4.8 APSC 相机镜头:抗水 + 内变焦,699 美元
- 10Intelligent Energy(IE)英泰力能 推出全新氢燃料电池,为乘用车开启零排放的未来