人気のあるオープンソースのセキュリティソフトウェアに、約1か月ぶりに大きな欠陥が発見されました。 ログインツールのOAuthとOpenIDに存在するこの穴は、Google、Facebook、Microsoft、LinkedIn、Yahoo、GitHubなどの多くのWebサイトに影響を及ぼします。
この欠陥は、シンガポールの南洋理工大学の博士課程の学生であるWangJingによって発見されました。 Jingは、深刻な「Covert Redirect」の欠陥が、影響を受けるサイトのドメインに基づくログインポップアップとして機能する可能性があると述べています。 攻撃者によって悪用されると、影響を受けるサイトにより、ユーザーはログイン情報や個人データ(電子メールアドレス、生年月日、連絡先リストなど)を制御できなくなる可能性があります。
さらに、この欠陥によりOpen Redirect攻撃が発生する可能性があり、ユーザーは攻撃者が選択したWebサイトにリダイレクトされます。これは、さらに被害が発生する可能性があることを意味します。
「この脆弱性のパッチは、口で言うほど簡単ではありません」とWangJing氏は言います。 彼は影響を受けた主要企業に連絡して欠陥を報告しましたが、彼らはバグを短期的に修正するのは難しいことを認めています。
WhiteHatSecurityの創設者兼暫定CEOであるJeremiahGrossmanを含むセキュリティ専門家は、Wangの調査結果に同意しています。
ただし、SilverSkyのSilverSkyLabsのVPであるBrandonEdwardsは、これはセキュリティ上の危険ほど重大ではないことを強調しています。 ハートブリード:
「音楽の好み、友達リスト、その他のソーシャルコンテンツを公開することは、機密性が高く、場合によっては深刻になる可能性があります」と彼は言います。 「しかし、一般的に言って、重要な情報にさらされるリスクははるかに低く、脆弱なサイトがとにかくサードパーティにさらされるであろう情報に隔離されています。 これは、サイトが処理する最も重要な情報を公開する可能性があるHeartbleedよりもはるかに影響が少ないです。
さらに、これらのテクノロジーを使用しているサイトのほとんどはソーシャルであるため、この脆弱性はHeartbleedほど広範ではありません。 ネットワークなので、これは銀行に脅威を与えることはなく、ルーターやVPNなどのネットワーク機器に組み込まれることもありません。 ゲートウェイ。 最後に、この脆弱性は依然としてユーザーの操作に依存しています。アカウントでのアクセスを許可するには、ユーザーをフィッシング、誘惑、または納得させる必要があります。」
この話が途切れるにつれて、さらに多くのニュースがあります。
ソース: Tetraph
経由: CNet