Biztonsági hiba veszélyeztette a LinkedIn felhasználóit
A LinkedIn egy meglehetősen veszélyes és könnyen kihasználható biztonsági rést foltozott be. Talán még időben.A közösségi oldalak népszerűsége miatt a kiberbűnözők és a biztonsági kutatók is mind több erőforrást áldoznak arra, hogy a legszélesebb körben használt webes szolgáltatásokban sérülékenységeket tárjanak fel. Egyes vállalatok az etikus biztonsági kutatásokat jutalmazási programokkal is motiválják. Ezek keretében a szakemberek pénzdíjban részesülhetnek akkor, ha mindenkinél korábban - az erre a célra kialakított csatornákon keresztül - jelzik az általuk felfedezett sebezhetőségeket. Egy ilyen hibajelentés érkezett a LinkedInhez is, amely ezúttal példaértű gyorsasággal reagált a felmerült rendellenességre.
A LinkedIn közleménye szerint november 16-án Rohit Dua biztonsági szakértő arról értesítette az üzemeltetőket, hogy egy könnyen kihasználható sérülékenységre akadt. A fejlesztők azonnal kivizsgálták a bejelentést, és megerősítették a hiba létezését. A biztonsági rés befoltozása három órán belül megtörtént, ami egy ekkora rendszer esetében rekordidőnek számít. Egyelőre nincsenek arra utaló jelek, hogy a szóban forgó sebezhetőséget korábban bárki, bármilyen célra kihasználta volna.
Egy egyszerű sérülékenység
A Rohit Dua által kimutatott biztonsági rendellenesség XSS (cross-site scripting) kockázatokat vetett fel. A hibát egészen pontosan a Help Center alól elérhető "Start a Discussion" nevű weboldal tartalmazta. Az azon található űrlap egyik beviteli mezőjébe script kódokat is meg lehetett adni, amit a LinkedIn eltárolt. Egy bizonyos szintű ellenőrzés volt a rendszerben, mivel ezen az oldalon a hiba közvetlenül még nem fejtette ki a hatását. Ellenben a bejegyzés elmentése, valamint a saját bejegyzések megtekintése után a korábban megadott script lefutott a böngészőben, ahogy arról az alábbi videó is árulkodik:
A kutató által közzétett videóból látható, hogy semmiféle különösebb trükkre nem volt szükség ahhoz, hogy jogosulatlan kódfuttatásra nyíljon lehetőség. Dua szerint a sebezhetőség különféle online visszaélésekre és adatlopásra adhatott volna lehetőséget, de akár úgynevezett XSS-férgek terjedésének is megalapozhatott volna a LinkedIn fórumoldalain.
Legyünk jóban a fehérkalapos szakemberekkel
A LinkedIn - hasonlóan sok más vállalathoz - korábban már elindította azt a jutalmazási rendszerét, amelynek keretében pénzdíjat adott a hibabejelentésekért. Azonban e programjának tavalyi felülvizsgálata után változtatott a hozzáállásán, mivel úgy határozott, hogy két pillére helyezi a bejelentések kezelését. Egyrészt meghagyta a lehetőséget arra, hogy e-mailen keresztül bárki beszámoljon a felfedezéseiről. Ugyanakkor a jutalmazási programjának nyilvános státuszát visszavonta, és azt egy jól leszűkített csoport számára tette csak elérhetővé. A vállalat szerint erre azért volt szükség, mert a teljes nyilvánosságot élvező program révén nagyon sok olyan bejelentést kapott, amelyek nem tartalmaztak releváns információkat, ugyanakkor a feldolgozásuk valóban fontos védelmi feladatok elől vette el az időt.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.