20.05.2022 | Студент нашел уязвимость в клиентской библиотеке Google OAuth для Java |
В прошлом месяце Google устранила серьезную уязвимость в своей клиентской библиотеке OAuth для Java. Уязвимость могла быть использована злоумышленником со скомпрометированным токеном для развертывания вредоносного ПО. Уязвимость отслеживается как CVE-2021-22573 и имеет оценку CVSS 8,7. CVE-2021-22573 связана с обходом авторизации в библиотеке и возникает из-за неправильной проверки криптографической подписи. 12 марта об уязвимости сообщил Тамджид Аль Рахат , студент четвертого курса факультета компьютерных наук Университета Вирджинии. Google наградила его $5 000 в рамках программы по поиску и устранению ошибок. "Уязвимость заключается в некорректной работе верификатора IDToken, который не проверяет подлинность цифровой подписи", – говорится в сводке, посвященной CVE-2021-22573. "Проверка подписи позволяет убедиться в том, источником полезной нагрузки является настоящий провайдер, а не кто-то другой. Используя уязвимость, злоумышленник может предоставить скомпрометированный токен со своей полезной нагрузкой и обойти проверку на стороне жертвы". Google в своем README-файле проекта на GitHub отмечает, что библиотека OAuth для Java поддерживается в режиме обслуживания и команда разработчиков исправляет только серьезные ошибки. Поэтому компания настоятельно рекомендует всем пользователям библиотеки как можно скорее обновить её до версии 1.33.3 , где CVE-2021-22573 уже устранена. |
Проверить безопасность сайта