Po raz drugi w ciągu około miesiąca znaleziono poważną lukę w popularnym oprogramowaniu zabezpieczającym typu open source. Dziura, która istnieje w narzędziach logowania OAuth i OpenID, dotyka wiele stron internetowych, w tym Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub i inne.
Wadę odkrył Wang Jing, doktorant na Uniwersytecie Technologicznym Nanyang w Singapurze. Jing zauważa, że poważna usterka „Ukryte przekierowanie” może działać jako wyskakujące okienko logowania w oparciu o domenę witryny, której dotyczy problem. Wykorzystywane przez atakującego witryny, których dotyczy ten problem, mogą spowodować utratę przez użytkowników kontroli nad swoimi danymi logowania i danymi osobowymi — w tym adresami e-mail, datami urodzenia i listami kontaktów.
Ponadto luka może skutkować atakami typu Open Redirect, w których użytkownicy są przekierowywani na wybraną przez atakującego stronę internetową, co może oznaczać dalsze szkody.
„Łatwiej powiedzieć, niż zrobić łatę tej luki”, mówi Wang Jing. Skontaktował się z największymi firmami, których dotyczy problem, aby zgłosić usterkę — chociaż przyznają, że błąd będzie trudny do naprawienia w krótkim okresie.
Eksperci ds. bezpieczeństwa, w tym Jeremiah Grossman, założyciel i tymczasowy dyrektor generalny WhiteHat Security, zgodzili się z ustaleniami Wanga.
Jednak Brandon Edwards — wiceprezes SilverSky Labs w SilverSky — podkreśla, że nie jest to tak poważne zagrożenie bezpieczeństwa, jak Krwawienie serca:
„Ujawnianie preferencji muzycznych, list znajomych i innych treści społecznościowych może być delikatne, a niektóre przypadki poważne” – mówi. „Jednak, ogólnie rzecz biorąc, ryzyko narażenia na krytyczne informacje jest znacznie niższe i jest odosobnione w przypadku informacji, które i tak narażone strony i tak ujawniłyby osobom trzecim. Ma to znacznie mniejszy wpływ niż Heartbleed, który może ujawnić najważniejsze informacje przetwarzane przez witrynę.
Ponadto ta luka nie jest tak powszechna jak Heartbleed, ponieważ większość witryn korzystających z tych technologii ma charakter społecznościowy sieci, dzięki czemu nie będzie stanowić zagrożenia dla banków i nie zostanie osadzone w sprzęcie sieciowym, takim jak routery lub VPN bramy. Wreszcie, ta luka nadal opiera się na interakcji użytkownika: użytkownik musi zostać wyłudzony, zwabiony lub przekonany, aby umożliwić dostęp za pomocą swojego konta”.
Będziemy mieć więcej wiadomości, gdy ta historia się rozpadnie.
Źródło: Tetraf
Przez: CNet
