Súlyos biztonsági hibát orvosolt a Twitter
A Twitter elismerte, hogy egy meglehetősen súlyos sérülékenységet kellett megszüntetnie. A hiba révén bárkinek a profiljába létre lehetett hozni bejegyzéseket.A Twitter biztonsági csapatának egy tanulságos sérülékenységgel kellett szembe néznie. A problémára még februárban derült fény, de csak a napokban került nyilvánosságra. A hibát a fejlesztők már orvosolták, így az nem jelent kockázatot. Arról azonban nincsenek információk, hogy a sérülékenység korábban hozzájárult-e bármely Twitter felhasználói fiók kompromittálásához.
A sebezhetőséget egy Kedrisec néven tevékenykedő biztonsági kutató fedezte fel, és jelezte azt a Twitter csapatának. A bejelentés kivizsgálásakor hamar bebizonyosodott, hogy a biztonsági hiba valós kockázatot jelent, és műveletek jogosulatlan végrehajtására adhat módot. Jelesül a támadóknak lehetőséget nyújthatott volna arra, hogy a saját fiókjukból más felhasználók profilja alá üzeneteket, bejegyzéseket helyezzenek el.
A sérülékenységet az Twitter Ads Studio tartalmazta, és speciálisan összeállított hálózati kérésekkel lehetett kihasználni. A biztonsági kutató arra lett figyelmes, hogy a https://ads.twitter.com/accounts/*id_of_user_account*/media címről elérhető API nem kizárólag arra ad lehetőséget, hogy a felhasználó különféle média fájlokat tekintsen meg, hanem arra is, hogy állományokat töltsön fel, illetve osszon meg. Amikor erre sor kerül, akkor a kérésben megjelenik a profil azonosítója, a fájl tulajdonosának azonosítója és egy úgynevezett media_key fájlazonosító is. A szakember ezeket az azonosítókat kezdte cserélgetni, de addig nem járt sikerrel, amíg mindegyiket nem manipulálta, azaz a media_key-re is szüksége volt. Ezt viszont nehéz kitalálni, mivel egy 18 karakteres mezőről van szó. Ugyanakkor e problémát is sikerült áthidalnia fájlok megosztásával. Ezt követően pedig megszemélyesítéses támadást kezdeményezhetett erre a célra létrehozott teszt fiókok bevonásával.
Az etikus hacker munkáját a Twitter 7560 dollárral jutalmazta.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.