Egész oldalas támadás a LinkedIn ellen
Alig telt el néhány nap a LinkedIn sebezhetőségének bejelentése óta, máris egy újabb biztonsági rést kellett foltozniuk a fejlesztőknek.A múlt héten arról számoltunk be, hogy a LinkedIn egy biztonsági hiba miatt XSS (cross site scripting) típusú támadásokra adhatott lehetőséget, aminek következtében az elkövetők bizalmas adatokhoz férhettek hozzá, és egyéb nemkívánatos online tevékenységeket hajthattak végre. Ezt a sérülékenységet a Help Center alól elérhető "Start a Discussion" nevű weboldal tartalmazta. Az azon található űrlap egyik beviteli mezőjébe script kódokat is meg lehetett adni, amit a LinkedIn eltárolt. A bejegyzés elmentése, valamint a saját bejegyzések megtekintése után a korábban megadott script lefutott a böngészőben.
A hibák sora azonban nem ért véget, mivel a közösségi oldal üzemeltetői elismerték, hogy egy másik, még "érdekesebb" sebezhetőséggel is volt dolguk az elmúlt napokban. Ezt Ruben van Vreeland, a BitSensor elnök-vezérigazgatója fedezte fel, és jelezte a LinkedIn illetékes munkatársainak, akik hamar orvosolták a problémát.
A biztonsági rést az okozta, hogy a LinkedIn túlságosan engedékeny volt a CSS-kódok használatakor. A közösségi oldalon a felhasználók bizonyos mértékig megadhatnak HTML-kódokat és CSS-stílusokat. A HTML résszel most nem volt gond, de a CSS-ellenőrzésbe egy hiba csúszott. Ennek kihasználásával elérhető volt, hogy egy támadó hivatkozást helyezzen el a stílusok közé (egészen pontosan az li_style használatával). Ez a link pedig "beterítette" az egész oldalt, vagyis bárhova kattintott a látogató, a hivatkozás révén eljutott arra az oldalra, amit a támadó kiválasztott. Ekkor pedig kártékony weblap jelenhetett meg a böngészőben, ami vírusterjesztést és adathalászatot is elősegíthetett.
A LinkedIn általában nem szokta nyilvánosságra hozni a biztonsági kutatók által feltárt sebezhetőségek részleteit, de ez esetben azért tett kivételt, mivel a sérülékenység egy "érdekes" technikára épül, és sok tanulsággal szolgál.
A vállalat jelezte, hogy az elmúlt egy év során több mint 65 ezer dollárt fizetett ki azon szakemberek számára, akik első kézből jeleztek számára biztonsági problémákat.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.