В прошлом месяце Google устранила серьезную уязвимость в своей клиентской библиотеке OAuth для Java. Уязвимость могла быть использована злоумышленником со скомпрометированным токеном для развертывания вредоносного ПО.
Уязвимость отслеживается как CVE-2021-22573 и имеет оценку CVSS 8,7. CVE-2021-22573 связана с обходом авторизации в библиотеке и возникает из-за неправильной проверки криптографической подписи.
12 марта об уязвимости сообщил Тамджид Аль Рахат , студент четвертого курса факультета компьютерных наук Университета Вирджинии. Google наградила его $5 000 в рамках программы по поиску и устранению ошибок.
«Уязвимость заключается в некорректной работе верификатора IDToken, который не проверяет подлинность цифровой подписи», – говорится в сводке, посвященной CVE-2021-22573. «Проверка подписи позволяет убедиться в том, источником полезной нагрузки является настоящий провайдер, а не кто-то другой. Используя уязвимость, злоумышленник может предоставить скомпрометированный токен со своей полезной нагрузкой и обойти проверку на стороне жертвы».
Google в своем README-файле проекта на GitHub отмечает, что библиотека OAuth для Java поддерживается в режиме обслуживания и команда разработчиков исправляет только серьезные ошибки. Поэтому компания настоятельно рекомендует всем пользователям библиотеки как можно скорее обновить её до версии 1.33.3 , где CVE-2021-22573 уже устранена.
Источник: SecurityLab