CYBER NOUVELLES

Vulnérabilités révélé dans Yahoo, PayPal, Shopify et Magento Applications

Les chercheurs ont divulgué des renseignements concernant certaines vulnérabilités intérieur applications web et mobiles des sites populaires de Yahoo, PayPal, Shopify et Magento. Cela aurait conduit à des attaques de phishing, détournement de sessions et même, vol de comptes.

p15_0000

Vulnérabilité chercheurs de laboratoire Ayoub Ait Elmokhtar, Benjamin Kunz Mejri, Ebrahim Hegazy et Hadji Samir ont fait la découverte des bogues plus tôt cette année, mais ont seulement maintenant ils les ont publiquement révélé.

La PayPal Vulnérabilités

Trois préoccupations distincts ont été trouvés dans la sécurité de PayPal, en particulier dans ses applications Web. Le plus grave de ces préoccupations est une vulnérabilité trouvée dans La vérification d'authentification de PayPal, dont le but est d'approuver le propriétaire du compte légitime. La vulnérabilité aurait pu conduire à une dérivation de ce processus de vérification par un attaquant.

Même lorsque la vérification en 2 étapes est activé sur l'application, où un utilisateur est bloqué si tapant des références erronées, le compte pourrait être à nouveau pénétré. Il y a deux semaines, Benjamin Mejri a déclaré sur le sujet que l'utilisateur peut entrer dans le compte d'un autre utilisateur via l'Application Programming Interface mobile simplement en remplaçant ancienne, biscuits périmés avec les nouveaux, ceux qui travaillent.

Parmi les possibles en 2 étapes contournement de l'authentification, il y avait un patch récent PayPal qui était à affecter un-redirect-web Open Vulnerability, trouvée par Ayoub Elmokhtar, qui aurait pu être exploité à distance. Que la vulnérabilité a abordé un autre qui était un stocké cross-site scripting bug dans l'application Web Service en ligne, qui aurait pu être exploitée pour l'achat de divers biens ou le transfert de fonds. Cette découverte particulière a été faite par Ayoub Elmokhtar.

La vulnérabilité Yahoo

Il y avait un autre sujet de préoccupation que les chercheurs publiées concernant le site de Yahoo pour les annonceurs - Gemini. Plus précisément il y avait un CSRF (Cross Site Request Forgery) punaise, ce qui aurait pu permettre à un pirate d'insérer du code malveillant de compromettre l'application côté client aux demandes du navigateur et les données de session.

Le Shopify et Magento Vulnérabilités

Dernier, mais pas des moindres, les chercheurs ont découvert deux différents implacables nom de fichier vulnérabilités dans deux plates-formes de e-commerce - La Magento de Shopify et eBay. Ces vulnérabilités pourraient ont conduit à un attaquant de mettre à distance dans leur propre code malveillant dans les modules de service des applications. Si cela se serait produit - cela aurait conduit à une série de problèmes pour les deux applications, telles que le détournement de sessions, les attaques de phishing implacables, redirections implacables à des sources externes ayant un contenu malveillant, entre autres.

La vulnérabilité la plus récente que chercheur Hadji Samir était trouvé dans le module Magento site pour les rapports de bogues. Un attaquant pourrait avoir téléchargé un script du code de la charge utile en tant que nom de fichier par un "post" et le script à exécuter, au lieu d'un rapport de bogue étant affiché.

Que pensez-vous de tout cela? Si les chercheurs ont exposé les bugs ou même plus tôt, immédiatement après qu'ils les avaient découvert? Vous sentez-vous toujours en sécurité en utilisant les sites mentionnés ci-dessus, même avec ces certaines vulnérabilités étant fixés?

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...