Tháng trước, Google đã giải quyết một lỗ hổng nghiêm trọng cao trong thư viện ứng dụng khách OAuth dành cho Java có thể bị kẻ xấu lợi dụng với mã thông báo bị xâm nhập để triển khai các tải trọng tùy ý.
Theo dõi là CVE-2021-22573lỗ hổng được xếp hạng 8,7 trên 10 về mức độ nghiêm trọng và liên quan đến việc bỏ qua xác thực trong thư viện bắt nguồn từ việc xác minh chữ ký mật mã không đúng cách.
Được công nhận là người phát hiện và báo cáo lỗ hổng vào ngày 12 tháng 3 là Tamjid Al Rahat, một tiến sĩ năm thứ tư. sinh viên Khoa học Máy tính tại Đại học Virginia, người đã được thưởng 5.000 đô la như một phần của chương trình tiền thưởng lỗi của Google.
“Lỗ hổng là người xác minh IDToken không xác minh xem mã thông báo có được ký đúng cách hay không”, một lời khuyên cho lỗ hổng cho biết.
“Xác minh chữ ký đảm bảo rằng trọng tải của mã thông báo đến từ một nhà cung cấp hợp lệ, không phải từ người khác. Kẻ tấn công có thể cung cấp mã thông báo bị xâm nhập với tải trọng tùy chỉnh. Mã thông báo sẽ vượt qua quá trình xác thực ở phía máy khách.”
Thư viện Java mã nguồn mở, được xây dựng trên Thư viện máy khách HTTP của Google dành cho Java, giúp bạn có thể lấy mã thông báo truy cập vào bất kỳ dịch vụ nào trên web hỗ trợ tiêu chuẩn ủy quyền OAuth.
Google, trong tệp README cho dự án trên GitHub, lưu ý rằng thư viện được hỗ trợ trong chế độ bảo trì và nó chỉ sửa các lỗi cần thiết, cho thấy mức độ nghiêm trọng của lỗ hổng bảo mật.
Người dùng của thư viện google-oauth-java-client được khuyến nghị cập nhật lên phiên bản 1.33.3, phát hành vào ngày 13 tháng 4, để giảm thiểu mọi rủi ro tiềm ẩn.
.
