CVE-2021-22573 è una vulnerabilità nel client OAuth di Google per Java, con un punteggio di gravità di 8.7 su 10 sulla scala CVSS.
Quali sono le cause della vulnerabilità CVE-2021-22573?
La vulnerabilità deriva dal fatto che “IDToken verificatore non verifica se il token è firmato correttamente,” secondo l'avviso di sicurezza. È necessaria la verifica della firma in modo che sia noto che il carico utile del token proviene da un provider valido.
“Un utente malintenzionato può fornire un token compromesso con un payload personalizzato. Il token passerà la convalida sul lato client. Si consiglia l'aggiornamento alla versione 1.33.3 o sopra,” ha aggiunto l'avviso. Il problema è stato scoperto e segnalato a marzo 12 di Tamjid Al Rahat, un dottorato di ricerca. studente di Informatica presso l'Università della Virginia. È stato premiato $5,000 per aver svelato il difetto, secondo il programma bug bounty di Google.
All'inizio di questo mese, un attacco di phishing che sfrutta il servizio di inoltro SMTP di Google è stato rilevato che inviava e-mail di phishing agli utenti. L'attacco è stato osservato dai ricercatori di sicurezza di Avanan.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: