使用Electron框架对桌面应用程序的攻击分为两个阶段:研究人员首先找到一种使用两个HTML标签的方法-区域和地图,然后在他们的帮助下加载了一个脚本,该脚本可以在受害者的计算机上执行任意代码。该场景看起来很简单:攻击者共享一个文件,然后单击该文件将执行恶意代码。另一种选择是窃取用户的会话,从而产生可以理解的后果:完全访问公司聊天数据。该漏洞已在一月份通过HackerOne平台报告给开发人员。 3月份,该问题的最严重部分(代码的发布)被消除了,但是供应商又停了六个月,没有特殊原因不允许发布漏洞数据。
两个月前,在Slack博客上出现了一篇关于隔离任何外部内容的需求的帖子:这项创新除其他因素外,还由发现的漏洞引起。
总的来说,一切都很好。但是,奖励值得注意:重大安全漏洞造成的1,750美元的损失。此外,它很容易被利用-足以访问受攻击的聊天。由于研究人员并未亲自发表文章,而是要求在HackerOne上公开票证,因此您可以查看独立专家与供应商的完整往来信息。如此低的报酬不是来自研究人员本人,而是来自愤怒的公众。是的,的确,将这样的漏洞卖给合法的漏洞代理可能会更昂贵。在黑市上甚至更有利可图。另一方面,与大型公司不同,Slack不会承诺很多钱:他们在漏洞赏金页面上的最高限额为1,500美元。所以这不只是金钱:即使是现在,当大多数供应商运行漏洞赏金计划时,“选择哪一方面”的选择仍然保留。
还有什么事
在过去一周中,关于试图贿赂特斯拉员工以将恶意代码植入内部网络的讨论很多。但是还有另一个与电动汽车制造商有关的故事,涉及由于服务器基础结构中的错误而能够远程控制任何特斯拉汽车的能力。该错误是自2017年以来的老错误,但具有新鲜的细节,甚至是技术报告。
电子前沿基金会的专家批评重要考试在自我隔离期间对学生的监视。本文介绍了用于类似目的的软件的功能,与间谍软件没有太大区别。
Safari浏览器中的漏洞允许窃取用户文件。在这种情况下,漏洞赏金计划中还有一个有争议的观点:苹果专家承认存在漏洞,但承诺在通知后将近一年的2021年春季将其关闭。Chrome浏览器已经关闭了另一个严重漏洞。
Facebook正在警告广告合作伙伴,新的iOS 14将使用户难以投放相关广告。如果设备所有者愿意,我们正在谈论禁止使用单个广告设备标识符。