• : info@idnsa.id
IDNSA
  • Beranda
  • Agenda
  • Publikasi
  • Webinar
  • Galeri
  • Tentang Kami
Become a Member
  1. Home
  2. Article
  3. Library Client Google OAuth Mengizinkan Muatan Berbahaya
Share This

  • 0

  • 91

Library Client Google OAuth Mengizinkan Muatan Berbahaya

hendroprasetyo
1 month ago

idNSA.id - Google mengatasi kelemahan autentikasi tingkat tinggi di Perpustakaan Klien OAuth Google untuk Java, dilacak sebagai CVE-2021-22573 (Skor CVS 8.7), yang dapat dieksploitasi oleh penyerang dengan token yang disusupi untuk menyebarkan malicious.

Library Client OAuth Google untuk Java dirancang untuk bekerja dengan layanan OAuth apa pun di web, tidak hanya dengan Google API. Library dibuat di Library Client HTTP Google untuk Java, dan mendukung Java 7 (atau lebih tinggi) standar (SE) dan enterprise (EE), Android 4.0 (atau lebih tinggi), dan Google App Engine.

Akar penyebab masalah adalah bahwa pemverifikasi IDToken tidak memverifikasi apakah token ditandatangani dengan benar. Ini berarti penyerang dapat menyajikan muatan berbahaya yang tidak berasal dari penyedia tepercaya.

“Kerentanannya adalah bahwa pemverifikasi IDToken tidak memverifikasi apakah token ditandatangani dengan benar. Verifikasi tanda tangan memastikan bahwa muatan token berasal dari penyedia yang valid, bukan dari orang lain. Penyerang dapat memberikan token yang dikompromikan dengan muatan khusus.” membaca deskripsi yang diterbitkan oleh NIST. “Token akan melewati validasi di sisi klien. Kami merekomendasikan untuk meningkatkan ke versi 1.33.3 atau lebih tinggi”

Kerentanan ini dilaporkan oleh peneliti keamanan Tamjid Al Rahat pada 12 Maret, masalah ini diberi imbalan $5.000 sebagai bagian dari program hadiah bug dari perusahaan. Google mengatasi masalah ini dengan merilis versi 1.33.3 pada bulan April.

Pengguna Library client OAuth Google untuk Java disarankan untuk meningkatkan versi ke versi 1.33.3 atau yang lebih baru.


Label : Google Api Malicious

Artikel Terkait :

Google merilis pembaruan keamanan Android Maret 20...
Chrome Merilis Patch Terbaru Untuk Menghindari Eks...
Regulator Italia Denda Google dan Apple karena Pra...
Google, Whatsapp, Instagram, Netflix akan Diblokir...
IdNSA

IdNSA - Indonesia Network Security Association

Bandung Techno Park Kawasan Pendidikan Telkom Jl. Telekomunikasi

Phone : (022) 88884200 Ext 203

  • : info@idnsa.id

Privacy Policy - Term and Condition

2020 - IdNSA