करीब एक महीने में दूसरी बार लोकप्रिय ओपन सोर्स सिक्योरिटी सॉफ्टवेयर में बड़ी खामी पाई गई है। होल, जो लॉगिन टूल OAuth और OpenID में मौजूद है, Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub और अन्य सहित कई वेबसाइटों को प्रभावित करता है।
सिंगापुर में नानयांग टेक्नोलॉजिकल यूनिवर्सिटी में पीएचडी के छात्र वांग जिंग ने इस दोष की खोज की थी। जिंग ने नोट किया कि गंभीर "गुप्त पुनर्निर्देशन" दोष एक प्रभावित साइट के डोमेन के आधार पर लॉगिन पॉपअप के रूप में कार्य कर सकता है। एक हमलावर द्वारा शोषण, प्रभावित साइटों के परिणामस्वरूप उपयोगकर्ता अपनी लॉगिन जानकारी और व्यक्तिगत डेटा पर नियंत्रण खो सकते हैं - ईमेल पते, जन्म तिथि और संपर्क सूची सहित।
इसके अलावा, दोष के परिणामस्वरूप ओपन रीडायरेक्ट हमले हो सकते हैं, जहां उपयोगकर्ताओं को एक हमलावर की पसंद की वेबसाइट पर पुनर्निर्देशित किया जाता है, जिसका अर्थ है कि और नुकसान हो सकता है।
वांग जिंग कहते हैं, "इस भेद्यता का पैच कहा से आसान है।" उन्होंने दोष की रिपोर्ट करने के लिए प्रभावित प्रमुख कंपनियों से संपर्क किया है - हालांकि वे स्वीकार करते हैं कि अल्पावधि में बग को ठीक करना मुश्किल होगा।
व्हाइटहैट सिक्योरिटी के संस्थापक और अंतरिम सीईओ जेरेमिया ग्रॉसमैन सहित सुरक्षा विशेषज्ञ वांग के निष्कर्षों से सहमत हैं।
हालांकि, सिल्वरस्की में सिल्वरस्की लैब्स के वीपी ब्रैंडन एडवर्ड्स इस बात पर जोर देते हैं कि यह उतना बड़ा सुरक्षा खतरा नहीं है जितना कि हृदयविदारक:
"संगीत वरीयताओं, मित्र सूचियों और अन्य सामाजिक सामग्री को उजागर करना संवेदनशील और कुछ मामलों में गंभीर हो सकता है," वे कहते हैं। "हालांकि, आम तौर पर बोलते हुए, महत्वपूर्ण जानकारी के संपर्क में आने का जोखिम बहुत कम है, और यह जानकारी के लिए अलग है कि कमजोर साइटें अन्यथा तीसरे पक्ष को उजागर कर रही होंगी। यह हार्टब्लिड की तुलना में बहुत कम प्रभावशाली है, जिसमें साइट द्वारा संसाधित की जाने वाली सबसे महत्वपूर्ण जानकारी को उजागर करने की क्षमता है।
इसके अतिरिक्त, यह भेद्यता हार्टब्लिड की तरह व्यापक नहीं है, क्योंकि इन तकनीकों का उपयोग करने वाली अधिकांश साइटें सामाजिक हैं नेटवर्किंग, इसलिए यह बैंकों के लिए खतरा पैदा नहीं करेगा, और राउटर या वीपीएन जैसे नेटवर्किंग उपकरणों में एम्बेड नहीं किया जाएगा प्रवेश द्वार। अंत में, यह भेद्यता अभी भी उपयोगकर्ता इंटरैक्शन पर निर्भर करती है: एक उपयोगकर्ता को अपने खाते के साथ पहुंच की अनुमति देने के लिए फ़िश, लालच या आश्वस्त होना चाहिए।"
इस कहानी के टूटने पर हमारे पास और खबरें होंगी।
स्रोत: चतुष्कोण
के जरिए: सीनेट