谷歌开源漏洞跟踪工具 Monorail 存在跨站点搜索漏洞

一名安全研究员表示，在谷歌开源漏洞跟踪工具 Monorail 中找到一个漏洞，可被用于执行跨站点搜索 (XS-Search) 攻击。

Monorail 用于检查和 Chromium 相关项目中的问题，PDFium、Gerrit、V8甚至著名的 0day 漏洞团队 Project Zero 也在使用它。Luan Herrera 表示，最近发现的这个漏洞可导致信息泄露问题。

Herrera 发现 Monorail 支持将某种搜索查询结果下载为 CSV 格式以及其它功能，它易受跨站点请求伪造攻击的影响。因此，攻击者能够强制用户在访问恶意链接时下载搜索查询结果。

Herrera 解释称，“如果谷歌安全团队成员或资深漏洞报告人访问了这个链接，那么就会下载包含所有他们具有访问权限的未披露问题的 CSV 文件。”

他还发现，搜索结果中显示的栏可被复制，从而导致攻击者任意增加所生成 CSV 文件的长度。

通过结合使用这两个缺陷，攻击者能够执行 XS-Search 攻击，从而执行复杂的搜索查询并夸大搜索查询的响应。Herrera 表示，“第二点尤为重要。如果某个查询请求的响应和某个 bug 匹配，那么我们就能让 CSV 的大小远超查询的大小。”

响应长度的差异也会导致攻击者计算每次请求完成的时间，如果返回结果则会减少，并且“实现请求跨源布尔问题的能力”。

例如，能够确定某些 bug 匹配特定文件夹。虽然很多 Chromium 漏洞报告显示文件路径和问题出现的代码行号，但由于 Chromium 文件夹结构是公开的，而 Monorail 将斜杠处理成文字分隔符，因此很容易执行 XS-Search 攻击。

Herrera 还提供了如何利用这个问题的具体详情，并表示发现可以在三个地方执行这种攻击，而这些也体现在三个 CVE 编号中，即 CVE-2018-10099、CVE-2018-19334 和 CVE-2018-19335。谷歌因此为 Herrera 颁发总计超过9400多美元的漏洞奖励金（每个漏洞大概获得3133美元）。

本文转自：https://www.linuxprobe.com/google-monorail.html