CVE-2021-22573は、Java用のGoogleのOAuthクライアントの脆弱性です, 重大度スコアが 8.7 から 10 CVSSスケールで.
CVE-2021-22573の脆弱性の原因?
この脆弱性は、「IDTokenベリファイアがトークンが適切に署名されているかどうかを検証しないという事実に起因します,」セキュリティアドバイザリによると. トークンのペイロードが有効なプロバイダーからのものであることがわかるように、署名の検証が必要です.
「攻撃者は、侵害されたトークンにカスタムペイロードを提供できます. トークンはクライアント側で検証に合格します. バージョンへのアップグレードをお勧めします 1.33.3 以上,」アドバイザリが追加されました. この問題は3月に発見され、報告されました 12 TamjidAlRahat著, 博士号. バージニア大学のコンピュータサイエンスの学生. 彼は授与されました $5,000 欠陥を開示するため, グーグルのバグバウンティプログラムによると.
今月上旬, a GoogleのSMTPリレーサービスを利用したフィッシング攻撃 ユーザーにフィッシングメールを配信していることが検出されました. 攻撃はAvananのセキュリティ研究者によって観察されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: