CVE-2021-22573 é uma vulnerabilidade no cliente OAuth do Google para Java, com um escore de gravidade de 8.7 fora de 10 na escala CVSS.
O que causa a vulnerabilidade CVE-2021-22573?
A vulnerabilidade decorre do fato de que “o verificador IDToken não verifica se o token está assinado corretamente,” de acordo com o conselho de segurança. A verificação de assinatura é necessária para que se saiba que a carga útil do token vem de um provedor válido.
“Um invasor pode fornecer um token comprometido com carga útil personalizada. O token passará a validação no lado do cliente. Recomendamos atualizar para a versão 1.33.3 ou acima,” a assessoria acrescentou. O problema foi descoberto e relatado em março 12 por Tamjid Al Rahat, um Ph.D. estudante de Ciência da Computação na Universidade da Virgínia. Ele foi premiado $5,000 por revelar o defeito, de acordo com o programa de recompensas de bugs do Google.
No início deste mês, uma ataque de phishing aproveitando o serviço de retransmissão SMTP do Google foi detectado entregando e-mails de phishing aos usuários. O ataque foi observado por pesquisadores de segurança da Avanan.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: