Сеня рядом и Белла пришел. Былое
Google устранила опасную уязвимость в Java-клиенте OAuth
В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору. Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty. Согласно официальному описанию, причиной появления уязвимости...
Когда покупка «мертвого» домена угрожает миллионам аккаунтов: уязвимость Google OAuth
Домены от разорившихся стартапов, «Sign in with Google» и ничего не подозревающие пользователи – рецепт для весьма опасной уязвимости, о которой рассказывает Truffle Security. По словам исследователя Дилана Эйри (Dylan Ayrey), миллионы людей потенциально могут потерять доступ к своим данным из-за того, как Google OAuth обрабатывает (или, точнее, не обрабатывает) смену владельца домена. Как известно, многие используют «Sign in with Google», чтобы заходить в Slack, Notion, Zoom, ChatGPT и прочие SaaS-сервисы...