Pour la deuxième fois en un mois environ, une faille majeure a été découverte dans un logiciel de sécurité open source populaire. Le trou, qui existe dans les outils de connexion OAuth et OpenID, affecte de nombreux sites Web, notamment Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub et autres.
La faille a été découverte par Wang Jing, doctorant à l'Université technologique de Nanyang à Singapour. Jing note que la faille sérieuse "Covert Redirect" peut agir comme une fenêtre contextuelle de connexion basée sur le domaine d'un site affecté. Exploités par un attaquant, les sites concernés peuvent faire perdre aux utilisateurs le contrôle de leurs informations de connexion et de leurs données personnelles, notamment les adresses e-mail, les dates de naissance et les listes de contacts.
En outre, la faille peut entraîner des attaques Open Redirect, où les utilisateurs sont redirigés vers un site Web du choix d'un attaquant, ce qui peut entraîner des dommages supplémentaires.
« La correction de cette vulnérabilité est plus facile à dire qu'à faire », déclare Wang Jing. Il a contacté les principales entreprises concernées pour signaler la faille, bien qu'elles reconnaissent que le bogue sera difficile à corriger à court terme.
Des experts en sécurité, dont Jeremiah Grossman, fondateur et PDG par intérim de WhiteHat Security, sont d'accord avec les conclusions de Wang.
Cependant, Brandon Edwards, vice-président de SilverSky Labs chez SilverSky, souligne qu'il ne s'agit pas d'un risque de sécurité aussi important que Saignement de cœur:
« Exposer des préférences musicales, des listes d'amis et d'autres contenus sociaux peut être sensible et, dans certains cas, grave », dit-il. «Cependant, de manière générale, le risque d'exposition à des informations critiques est beaucoup plus faible et est isolé des informations que les sites vulnérables exposeraient de toute façon à des tiers. Cela a beaucoup moins d'impact que Heartbleed, qui a le potentiel d'exposer les informations les plus critiques qu'un site traite.
De plus, cette vulnérabilité n'est pas aussi répandue que Heartbleed, car la plupart des sites utilisant ces technologies sont des sites sociaux. réseau, de sorte que cela ne constituera pas une menace pour les banques et ne sera pas intégré dans des équipements de réseau tels que des routeurs ou des VPN passerelles. Enfin, cette vulnérabilité repose toujours sur l'interaction de l'utilisateur: un utilisateur doit être hameçonné, attiré ou convaincu pour autoriser l'accès avec son compte.
Nous aurons plus de nouvelles au fur et à mesure que cette histoire se déroulera.
La source: Tétrape
Passant par: CNet