CVE-2021-22573 is een kwetsbaarheid in de OAuth-client van Google voor Java, met een ernstscore van 8.7 uit 10 op de schaal CVSS.
Wat veroorzaakt het beveiligingslek in CVE-2021-22573??
De kwetsbaarheid komt voort uit het feit dat "IDToken-verifier niet verifieert of token correct is ondertekend",” volgens het veiligheidsadvies. Handtekeningverificatie is nodig, zodat bekend is dat de lading van het token afkomstig is van een geldige provider.
“Een aanvaller kan een gecompromitteerd token leveren met een aangepaste payload. Het token zal de validatie aan de clientzijde doorstaan. We raden aan om naar versie te upgraden 1.33.3 of daarboven,” het advies toegevoegd. Het probleem is ontdekt en gemeld in maart 12 door Tamjid Al Rahato, een doctoraat. student Computerwetenschappen aan de Universiteit van Virginia. Hij is bekroond $5,000 voor het onthullen van de fout, volgens het bug bounty-programma van Google.
Eerder deze maand, een phishing-aanval waarbij gebruik wordt gemaakt van de SMTP-relayservice van Google gedetecteerd bij het bezorgen van phishing-e-mails aan gebruikers. De aanval werd waargenomen door Avanan-beveiligingsonderzoekers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: