ГЛАВНАЯ // NEWS


Студент нашел уязвимость в клиентской библиотеке Google OAuth для Java

В прошлом месяце Google устранила серьезную уязвимость в своей клиентской библиотеке OAuth для Java. Уязвимость могла быть использована злоумышленником со скомпрометированным токеном для развертывания вредоносного ПО.

Уязвимость отслеживается как CVE-2021-22573 и имеет оценку CVSS 8,7. CVE-2021-22573 связана с обходом авторизации в библиотеке и возникает из-за неправильной проверки криптографической подписи.

12 марта об уязвимости сообщил Тамджид Аль Рахат , студент четвертого курса факультета компьютерных наук Университета Вирджинии. Google наградила его $5 000 в рамках программы по поиску и устранению ошибок.

«Уязвимость заключается в некорректной работе верификатора IDToken, который не проверяет подлинность цифровой подписи», – говорится в сводке, посвященной CVE-2021-22573. «Проверка подписи позволяет убедиться в том, источником полезной нагрузки является настоящий провайдер, а не кто-то другой. Используя уязвимость, злоумышленник может предоставить скомпрометированный токен со своей полезной нагрузкой и обойти проверку на стороне жертвы».

Google в своем README-файле проекта на GitHub отмечает, что библиотека OAuth для Java поддерживается в режиме обслуживания и команда разработчиков исправляет только серьезные ошибки. Поэтому компания настоятельно рекомендует всем пользователям библиотеки как можно скорее обновить её до версии 1.33.3 , где CVE-2021-22573 уже устранена.

Источник: SecurityLab


Powered by Отряд им. 7-го МАЯ