Po drugi put u otprilike mjesec dana, otkrivena je velika greška u popularnom sigurnosnom softveru otvorenog koda. Rupa, koja postoji u alatima za prijavu OAuth i OpenID, utječe na mnoge web stranice, uključujući Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub i druge.
Nedostatak je otkrio Wang Jing, student doktorskog studija na Tehnološkom sveučilištu Nanyang u Singapuru. Jing napominje da ozbiljan nedostatak "prikrivenog preusmjeravanja" može djelovati kao skočni prozor za prijavu na temelju domene zahvaćene web lokacije. Iskorišteni od strane napadača, zahvaćene web stranice mogu dovesti do toga da korisnici izgube kontrolu nad svojim podacima za prijavu i osobnim podacima - uključujući adrese e -pošte, datume rođenja i popise kontakata.
Osim toga, nedostatak može rezultirati napadima Open Redirect, gdje se korisnici preusmjeravaju na web lokaciju po izboru napadača, što može značiti dodatnu štetu.
"Zakrpu ove ranjivosti lakše je reći nego učiniti", kaže Wang Jing. Kontaktirao je velike tvrtke na koje se to odnosi kako bi prijavile nedostatak-iako priznaju da će se greška kratkoročno teško popraviti.
Sigurnosni stručnjaci, uključujući Jeremiaha Grossmana, osnivača i privremenog izvršnog direktora tvrtke WhiteHat Security, složili su se s Wangovim nalazima.
Međutim, Brandon Edwards - potpredsjednik SilverSky laboratorija u SilverSkyju - naglašava da to nije tako velika sigurnosna opasnost kao Krvav iz srca:
"Izlaganje glazbenih preferencija, popisa prijatelja i drugih društvenih sadržaja može biti osjetljivo, a neki slučajevi ozbiljni", kaže on. „Međutim, općenito govoreći, rizik od izloženosti kritičnim informacijama je mnogo manji i izoliran je od informacija koje bi inače ranjive web stranice ionako bile izložene trećim stranama. To je daleko manje utjecajno od Heartbleeda, koji ima potencijal razotkriti najkritičnije informacije koje web mjesto obrađuje.
Osim toga, ta ranjivost nije toliko raširena kao Heartbleed, jer je većina web stranica koje koriste te tehnologije društvena umrežavanje pa ovo neće predstavljati prijetnju bankama i neće biti ugrađeno u mrežnu opremu poput usmjerivača ili VPN -a pristupnici. Konačno, ta se ranjivost i dalje oslanja na interakciju korisnika: korisnik mora biti prevaren, namamljen ili uvjeren da dozvoli pristup svom računu. ”
Imat ćemo više vijesti kako ova priča prođe.
Izvor: Tetraph
Preko: CNet