• : info@idnsa.id
IDNSA
  • Beranda
  • Agenda
  • Literasi Digital
    Test Mandiri IDNSA secure school program
  • Webinar
  • Galeri
  • Tentang Kami
Masuk / Daftar
  1. Home
  2. Article
  3. Library Client Google OAuth Mengizinkan Muatan Berbahaya
Like

  • 0
Bookmark

Share

  • 1514

Library Client Google OAuth Mengizinkan Muatan Berbahaya

scofield
3 years ago

idNSA.id - Google mengatasi kelemahan autentikasi tingkat tinggi di Perpustakaan Klien OAuth Google untuk Java, dilacak sebagai CVE-2021-22573 (Skor CVS 8.7), yang dapat dieksploitasi oleh penyerang dengan token yang disusupi untuk menyebarkan malicious.

Library Client OAuth Google untuk Java dirancang untuk bekerja dengan layanan OAuth apa pun di web, tidak hanya dengan Google API. Library dibuat di Library Client HTTP Google untuk Java, dan mendukung Java 7 (atau lebih tinggi) standar (SE) dan enterprise (EE), Android 4.0 (atau lebih tinggi), dan Google App Engine.

Akar penyebab masalah adalah bahwa pemverifikasi IDToken tidak memverifikasi apakah token ditandatangani dengan benar. Ini berarti penyerang dapat menyajikan muatan berbahaya yang tidak berasal dari penyedia tepercaya.

“Kerentanannya adalah bahwa pemverifikasi IDToken tidak memverifikasi apakah token ditandatangani dengan benar. Verifikasi tanda tangan memastikan bahwa muatan token berasal dari penyedia yang valid, bukan dari orang lain. Penyerang dapat memberikan token yang dikompromikan dengan muatan khusus.” membaca deskripsi yang diterbitkan oleh NIST. “Token akan melewati validasi di sisi klien. Kami merekomendasikan untuk meningkatkan ke versi 1.33.3 atau lebih tinggi”

Kerentanan ini dilaporkan oleh peneliti keamanan Tamjid Al Rahat pada 12 Maret, masalah ini diberi imbalan $5.000 sebagai bagian dari program hadiah bug dari perusahaan. Google mengatasi masalah ini dengan merilis versi 1.33.3 pada bulan April.

Pengguna Library client OAuth Google untuk Java disarankan untuk meningkatkan versi ke versi 1.33.3 atau yang lebih baru.


Label : Google Api Malicious

Artikel Terkait :

Google mengharuskan developer aplikasi untuk memve...
Chrome Merilis Patch Terbaru Untuk Menghindari Eks...
Google Merinci Dua Bug Zero-Day yang Dilaporkan di...
Bug Remote Code Execution Ditemukan di Library Jso...
IdNSA

IdNSA - Indonesia Network Security Association

Bandung Techno Park Kawasan Pendidikan Telkom
Jl. Telekomunikasi, Sukapura, Kec. Dayeuhkolot, Bandung, Jawa Barat 40257, Indonesia

Phone : (022) 88884200 Ext 203

  • : info@idnsa.id

Privacy Policy - Term and Condition

- IdNSA