Ráérősen bánik a biztonsággal a Pinterest
A Pinterest nem kapkodta el a szolgáltatását érintő egyik sérülékenységről szóló beszámolójának közzétételét. Szerencsére a hibajavítás sokkal jobban ment.A 2010-ben útjára indult Pinterest közösségi képmegosztó napjainkban milliók körében örvend nagy népszerűségnek, így érthető, hogy manapság már nem tud elbújni a fekete- és fehérkalapos hackerek szúrós tekintete elől. Jó példát szolgáltat minderre annak a sebezhetőségnek a története is, amelyre idén januárban bukkant egy biztonsági kutató. A történetnek hamar vége lett volna, ha a kommunikációba nem csúszik hiba.
Több hónapos huzavona
Benjamin Kunz Mejri, a Vulnerability Lab kutatója az év elején a Pinterest védelmi képességeit vizsgálta. A munkája során egy biztonsági résre lett figyelmes, amelynek technikai részleteit azonnal megosztotta a Pinterest üzemeltetőivel.
Azt semmiképpen nem lehet mondani, hogy a közösségi oldal fejlesztői félvállról vették volna a bejelentést, hiszen két hét alatt gyökerestől megszüntették a problémát, javították a hibát. Azonban eddig ismeretlen okok miatt a sérülékenységről csak a múlt héten adott hírt a Pinterest, ami felkeltette a nemzetközi sajtó érdeklődését. Biztonsági szempontból viszont mindenképpen meg kell jegyezni, hogy ez a helyzet még mindig sokkal jobb, mintha a hibajavítások elkészítése tartott volna eddig.
A napvilágra került információk szerint a sérülékenység az elektronikus levelek esetenkénti nem megfelelő kezelésével, illetve különféle validációs hiányosságokkal volt összefüggésbe hozható. Egész pontosan a Pinterest API-jához tartozó felhasználói (User Profile) sémában lévő "contact_name" értékének speciális összeállításával lehetett megtalálni azt a kiskaput, amin keresztül aztán komolyabb károkozásokat lehetett végrehajtani. A támadók felhasználói e-maileket manipulálhattak, és kártékony scripteket helyezhettek el azokban. Miután ezt megtették, akkor különféle pineket tudtak küldözgetni a felhasználóknak, munkamenetek felett vehették át az irányítást, adathalász támadásokat indíthattak vagy webes átirányításokat eszközölhettek. Arról nincsenek hírek, hogy ilyen károkozások bekövetkeztek volna, vélhetőleg a Benjamin Kunz Mejri féle felfedezésre még időben került sor.
Az irány jó
A Pinterest is érzi, hogy a biztonság területén is meg kell felelnie azoknak az elvárásoknak, amiket a mind nagyobb felhasználói bázis teremt. Ez azonban nem megy egyik napról a másikra, de az irány jónak tűnik. Korábban a közösségi oldal üzemeltetői mindössze egy pólót ajánlottak azoknak a biztonsági kutatóknak, akik sebezhetőségeket tártak fel a rendszerében. Aztán a Pinterest illetékesei is rájöttek arra, hogy ez kevés, így elindítottak egy jutalmazási programot, melynek keretében 25-200 dollárral honorálják a hibabejelentőket. Nyilván ezek az összegek a jövőben emelkedni fognak, hiszen megfigyelhető, hogy a többi, hasonló célokat szolgáló program is mind bőkezűbben bánik a díjazásokkal. Mindezek mellett fontos lépés volt a Pinterest részéről, hogy idén márciusban - hosszú várakozás után - végre teljes körűen átállt a HTTPS-alapú kommunikációra.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.