Yaklaşık bir ay içinde ikinci kez, popüler açık kaynaklı güvenlik yazılımında büyük bir kusur bulundu. OAuth ve OpenID oturum açma araçlarında bulunan delik, Google, Facebook, Microsoft, LinkedIn, Yahoo, GitHub ve diğerleri dahil olmak üzere birçok web sitesini etkiliyor.
Kusur, Singapur'daki Nanyang Teknoloji Üniversitesi'nde doktora öğrencisi olan Wang Jing tarafından keşfedildi. Jing, ciddi "Gizli Yönlendirme" kusurunun, etkilenen bir sitenin etki alanına dayalı olarak bir giriş açılır penceresi işlevi görebileceğini belirtiyor. Bir saldırgan tarafından istismar edilen etkilenen siteler, kullanıcıların e-posta adresleri, doğum tarihleri ve kişi listeleri dahil olmak üzere oturum açma bilgilerinin ve kişisel verilerinin kontrolünü kaybetmelerine neden olabilir.
Ek olarak, kusur, kullanıcıların bir saldırganın tercih ettiği bir web sitesine yönlendirildiği Açık Yönlendirme saldırılarına neden olabilir ve bu da daha fazla zarar verilmesi anlamına gelebilir.
Wang Jing, “Bu güvenlik açığının yamasının söylenmesi yapmaktan daha kolay” diyor. Hatayı bildirmek için etkilenen büyük şirketlerle temasa geçti - ancak hatanın kısa vadede düzeltilmesinin zor olacağını kabul ediyorlar.
WhiteHat Security'nin kurucusu ve geçici CEO'su Jeremiah Grossman da dahil olmak üzere güvenlik uzmanları, Wang'ın bulgularına katılıyor.
Bununla birlikte, SilverSky'deki SilverSky Labs Başkan Yardımcısı Brandon Edwards, bunun bir güvenlik tehlikesi kadar büyük bir tehlike olmadığını vurguluyor. kalp kanaması:
"Müzik tercihlerini, arkadaş listelerini ve diğer sosyal içerikleri ifşa etmek hassas olabilir ve bazı durumlarda ciddi olabilir" diyor. “Ancak, genel olarak konuşursak, kritik bilgilere maruz kalma riski çok daha düşüktür ve savunmasız sitelerin aksi takdirde üçüncü taraflara maruz kalacağı bilgilere göre izole edilir. Bu, bir sitenin işlediği en kritik bilgileri açığa çıkarma potansiyeline sahip Heartbleed'den çok daha az etkilidir.
Ek olarak, bu güvenlik açığı Heartbleed kadar yaygın değildir, çünkü bu teknolojileri kullanan sitelerin çoğu sosyaldir. ağ oluşturma, bu nedenle bu, bankalar için bir tehdit oluşturmayacak ve yönlendiriciler veya VPN gibi ağ ekipmanlarına gömülmeyecektir. ağ geçitleri. Son olarak, bu güvenlik açığı hala kullanıcı etkileşimine dayanmaktadır: bir kullanıcının hesabıyla erişime izin vermesi için kimlik avı, cezbetme veya ikna edilmesi gerekir.
Bu hikaye koptuğunda daha fazla haberimiz olacak.
Kaynak: tetraph
Üzerinden: CNet
![Yeni bir beceri edinmek için hafta sonunu kullanın [Fırsatlar]](/f/bb0323691275eedbf52d47457a8f1b1e.jpg?width=81&height=81)
