Už druhýkrát za približne jeden mesiac bola v populárnom bezpečnostnom softvéri s otvoreným zdrojovým kódom nájdená veľká chyba. Diera, ktorá existuje v prihlasovacích nástrojoch OAuth a OpenID, postihuje mnoho webových stránok vrátane Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub a ďalších.
Chybu zistil Wang Jing, študent Ph. D na Technologickej univerzite Nanyang v Singapure. Jing poznamenáva, že závažná chyba „Skryté presmerovanie“ môže fungovať ako vyskakovacie okno na prihlásenie na základe domény postihnutého webu. V dôsledku zneužitia útočníkom môžu dotknuté stránky spôsobiť, že používatelia stratia kontrolu nad svojimi prihlasovacími údajmi a osobnými údajmi - vrátane e -mailových adries, dátumov narodenia a zoznamov kontaktov.
Okrem toho môže chyba mať za následok útoky typu Open Redirect, kde sú používatelia presmerovaní na webovú stránku podľa výberu útočníka, čo môže znamenať ďalšie škody.
"O tejto zraniteľnosti sa ľahšie hovorí, ako robí," hovorí Wang Jing. Kontaktoval hlavné spoločnosti, ktorých sa to týka, aby nahlásili chybu-aj keď uznávajú, že chybu bude v krátkodobom horizonte ťažké odstrániť.
Bezpečnostní experti vrátane Jeremiah Grossmana, zakladateľa a dočasného generálneho riaditeľa spoločnosti WhiteHat Security, súhlasili so zisteniami Wanga.
Brandon Edwards - viceprezident spoločnosti SilverSky Labs v spoločnosti SilverSky - však zdôrazňuje, že nejde o také veľké bezpečnostné riziko, ako So srdcom:
"Odhalenie hudobných preferencií, zoznamov priateľov a iného sociálneho obsahu môže byť citlivé a v niektorých prípadoch aj závažné," hovorí. "Všeobecne povedané, riziko vystavenia kritickým informáciám je oveľa nižšie a je izolované len pre informácie, ktoré by inak zraniteľné stránky inak vystavili tretím stranám." Toto je oveľa menej účinné ako program Heartbleed, ktorý má potenciál odhaliť najdôležitejšie informácie, ktoré web spracováva.
Okrem toho táto zraniteľnosť nie je taká rozšírená ako Heartbleed, pretože väčšina stránok využívajúcich tieto technológie je sociálna siete, takže to nebude predstavovať hrozbu pre banky a nebude integrované do sieťových zariadení, ako sú smerovače alebo VPN brány. Napokon, táto zraniteľnosť stále závisí od interakcie používateľa: používateľ musí byť phishingom, nalákaný alebo presvedčený, aby mohol svojmu účtu povoliť prístup. “
Keď sa tento príbeh skončí, budeme mať ďalšie správy.
Zdroj: Tetraph
Cez: CNet