United Airlines: nem repdesnek a hibajavítások, pedig...
A United Airlines fejlesztőinek hat hónapra volt szükségük ahhoz, hogy egy kritikus veszélyességű biztonsági rést befoltozzanak.A United Airlines korábban egy olyan programot indított, amelynek keretében jutalmazni kezdte a rendszereiben, illetve az alkalmazásaiban hibákat feltáró szakembereket. A kezdeményezés indulása után néhány héttel Randy Westergren biztonsági kutató a társaság androidos mobil alkalmazásának vizsgálata mellett döntött. Nem is kellett sok idő ahhoz, hogy egy súlyos sebezhetőségre akadjon. A felfedezését jelezte a légitársaságnak, amely hat hónapig ült a problémán, mire végre megérkezett a javítás.
Westergren a biztonsági frissítés kiadása után számolt be a feltárt rendellenességről. Elárulta, hogy a MileagePlus az egyik paramétert nem ellenőrizte megfelelően, ezért megszemélyesítéses támadásokat lehetett végrehajtani. Konkrétan az mpNumber nevű paraméterrel volt gond, amelyet, ha a kutató megváltoztatott, akkor hirtelen más felhasználók MileagePlus fiókjában találta magát. A szakember teszt profilokkal kísérletezett, de azokkal is pontosan meg tudta állapítani, hogy a sérülékenység kihasználásával egy támadó hozzáférést szerezhet tetszőlegesen kiválasztott ügyfelek adataihoz, elérheti a fizetési információkat, sőt még foglalásokat is manipulálhat.
Westergren május 27-én jelezte a hibát a légitársaságnak, amely július 13-án annyit válaszolt, hogy a feltárt hiba bejelentése már duplikált, azaz korábban valaki már jelentette a sebezhetőséget. Ezt követően sokáig nem történt semmi, mígnem az elmúlt napokban megérkezett a javítás. "Úgy gondolom, hogy összességében a jutalmazási program egy nagyszerű lépés, és jó irányba vezet. Ugyanakkor az is kritikus fontosságú, hogy ennek fenntartása gördülékeny legyen" – vélekedett a kutató.
A United Airlines az ilyenkor szokásos módon közölte, hogy az ügyféladatok biztonságát kiemelt prioritásként kezeli, és a sebezhetőség már nem jelent kockázatot. Azonban azt nem tudni, hogy miért kellett arra várni, hogy Westergren megpedzegesse a vállalatnak, hogy ha nem érkezik javítás, akkor a nyilvánossághoz fordul. Állítólag a késlekedést a társaság azzal indokolta, hogy nagyon sok hibabejelentést kapott, amiket kezelnie kellett.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.