LinkedIn. Lynda
Egy távoli kiaknázható biztonsági rés, amelyről kiderült, hogy 600 millió WhatsApp-felhasználót érint 2014-ben, és azóta még több ki és bekapcsolt állapotban van, távoli kezdeményezésű rendszerösszeomlásokkal, új formában került elő. Megállapították, hogy a LinkedIn mobilalkalmazás 9.11-es és régebbi verziói iOS-en tartalmaznak egy processzor erőforrás kimerülési sebezhetőségét, amelyet a felhasználó által biztosított bemenet indíthat el.
A sebezhetőség abból adódik, hogy a mobilalkalmazás felhasználói által szolgáltatott bemenetek szűrője nem képes észlelni a rosszindulatú vagy zavaró bemeneteket. Amikor a felhasználó ilyen üzenetet küld egy másik felhasználónak a LinkedIn alkalmazásban, az üzenet megtekintésekor a szkript beolvasásra kerül, és a megtekintett kód a CPU felújítását kéri, ami kimerülés összeomlást okoz.
A sérülékenységről kiderül, hogy az iPhone operációs rendszerének 11.4.1-es verzióját érinti, elsősorban az iPhone 7 mobileszközöket célozva meg. Amikor a rosszindulatú kódot elolvassa ezen a rendszeren, ez 48 másodperces CPU-időt okoz 62 másodperc alatt, ami 93% -os CPU-átlagot eredményez. Ez a CPU-átlag messze meghaladja a 80% -os CPU-használat 60 másodpercen belüli megszakítását, ami a rendszer kimerülését és az ebből következő összeomlást okozza.
Amint a WhatsApp esetében látható, a kód eltávolítása után a legfrissebb üzenetsorból a CPU összeomlása megszűnik. Úgy tűnik, hogy ez a helyzet a LinkedIn mobilalkalmazásában is. Annak érdekében, hogy megakadályozza a rendszer összeomlását minden alkalommal, amikor megpróbálja újraindítani az alkalmazást, meg kell kérnie a hibás kódot küldő felhasználót, hogy küldjön még egy egyszerű üzenetet, hogy az összeomlás leálljon. Ez nem a legegyszerűbb enyhítési technika, ha olyan támadóktól kap üzeneteket, akik szándékosan próbálják kihasználni ezt a biztonsági rést, hogy problémát okozzanak neked.
A következő szkript Juan Sacco készítette a CPU kimerülését okozó kódot.
Ez a sebezhetőség nemrég jelent meg, és a LinkedIn tudomásul vette. Frissítést, javítást vagy mérséklést részletező tanácsadást a cég még nem tett közzé.
