Vulnerabilitati critice la Slack

Vulnerabilitati critice
Vegeris a furnizat detalii suplimentare cu privire la vulnerabilitatile pe care le-a descoperit intr-un raport HackerOne care a fost facut recent public la cererea sa, spunand:

„Cu orice redirectionare in aplicatie – redirectionare logica / deschisa, injectie HTML sau javascript, este posibil sa se execute cod arbitrar in cadrul aplicatiilor desktop Slack. Acest raport demonstreaza o exploatare special creata care consta dintr-o injectie HTML, bypass de control de securitate si o sarcina utila RCE Javascript. Acest exploit a fost testat ca functionand pe cele mai recente versiuni Slack pentru desktop (4.2, 4.3.2) (Mac / Windows / Linux). ”

Potrivit raportului, Vegeris a aratat mai multe moduri in care aplicatiile Slack ar putea fi exploatate pentru a realiza executia arbitrara de cod pe computerul unui utilizator. El a mers chiar si pana la realizarea unei emisiuni video de exploatare Proof-of-Concept (PoC), cat de usor ar fi pentru un hacker sa exploateze aceste bug-uri daca ar fi lasate fara patch-uri.

Vegeris insusi nu a fost fericit ca a primit doar 1.750 USD pentru dezvaluirea mai multor erori si nici restul comunitatii de securitate nu a fost. Cu toate acestea, platile pe care le-a primit au fost in concordanta cu recompensele detaliate pe pagina HackerOne a lui Slack.

Ofiter sef de securitate la Slack, Larkin Ryder si-a cerut scuze de la Vegeris pe pagina HackerOne a companiei, dupa ce a fost publicata o postare pe blog care detaliaza munca sa fara credit, care a fost remediata de atunci, spunand:

„Scriu pentru a transmite scuze foarte sincere pentru orice supraveghere a creditarii muncii dumneavoastra. Apreciem foarte mult timpul si efortul pe care l-ati investit pentru a face Slack mai sigur. In timp ce echipa de securitate nu a scris aceasta postare pe blog si autorul nu are vizibilitate asupra lucrarii dvs. in H1, ar trebui sa facem pasii suplimentari pentru a ne asigura ca toti cei care au contribuit la eforturile de imbunatatire in acest domeniu sunt recunoscuti. Voi investiga introducerea actualizarilor corespunzatoare postarii noastre pe blog. Brandon va urmari pentru a se asigura ca aceste actualizari sunt pe placul dvs. si pentru a va coordona solicitarea de divulgare. Din nou, imi pare foarte rau pentru orice pas gresit din partea noastra. ”

Add Comment