CVE-2021-22573 er en sårbarhed i Googles OAuth-klient til Java, med en sværhedsgrad på 8.7 ud af 10 på CVSS skala.
Hvad forårsager CVE-2021-22573-sårbarheden?
Sårbarheden stammer fra det faktum, at "IDToken-verifier ikke verificerer, om token er korrekt signeret,” ifølge sikkerhedsrådgivningen. Signaturbekræftelse er nødvendig, så det vides, at tokenets nyttelast kommer fra en gyldig udbyder.
"En angriber kan levere et kompromitteret token med tilpasset nyttelast. Tokenet vil bestå valideringen på klientsiden. Vi anbefaler at opgradere til version 1.33.3 eller over,” tilføjede rådgiveren. Problemet blev opdaget og rapporteret i marts 12 af Tamjid Al Rahat, en ph.d. studerende i datalogi ved University of Virginia. Han er blevet præmieret $5,000 for at afsløre fejlen, ifølge Googles bug bounty-program.
Tidligere i denne måned, en phishing-angreb, der udnytter Googles SMTP-relætjeneste blev opdaget at levere phishing-e-mails til brugere. Angrebet blev observeret af Avanans sikkerhedsforskere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: