:

Szerző: Hlács Ferenc

2019. május 21. 08:30

Súlyos sebezhetőséget javított a Slack

A windwosos klienst érintő hiba illetéktelen hozzáférést engedett a beszélgetésekben megosztott fájlokhoz.

Komoly sebezhetőséget foltoz windowsos asztali kliensének legújabb frissítésében a Slack: mint azt a Tenable biztonsági szakértői felfedezték, a kollaborációs szoftver 3.3.7-es kiadásának sérülékenységét kihasználva lehetőség nyílt a szolgáltatásban továbbított fájlok illetéktelen megszerzésére, vagy akár manipulációjára. David Wells, a Tenable biztonsági kutatójának blogposztja szerint a probléma Slack hivatkozáskezelésében gyökerezett.

A windowsos kliens implementációja ugyanis lehetővé tette, hogy a slack:// protokoll-kezelőn keresztül a szoftver több beállításához is hozzáférjen, egyedi hivatkozások létrehozásával. Egy-egy ilyen hivatkozással a letöltések alapértelmezett útvonalát is lehetőség van megváltoztatni - elég ha az adott linket egy chatben a gyanútlan felhasználó lekattintja. A támadók dolgát megnehezíti ugyanakkor, hogy a Slack bizonyos karaktereket a hivatkozásokból kiszűr, ilyenek a kettőspontok is - ennek megfelelően a helyi meghajtón lévő útvonalakat nem tudnak megadni. Egy megosztott SMB útvonal ugyanakkor már gond nélkül beállítható egy megfelelően preparált hivatkozással.

slackhq

A sérülékenység demonstrálására Wells is ezt választotta, a Slack-beszélgetésben pedig a linkre kattintva sikeresen állította át az alapértelmezett letöltési utat saját SMB tárolójára, ahová a letölteni kívánt dokumentum meg is érkezett. A hivatkozásban ugyanakkor még így is feltűnő lehet a "setting" mező, az üzenet különböző szavaira pedig alapesetben nincs lehetőség hivatkozásokat beállítani a szolgáltatásban - ugyanakkor mint a szakértő felfedezte, a Slack API "attachments" funkciójával ez mégis kivitelezhető, így a beállításokat módosító, kártékony linket egy ártatlan hivatkozás mögé lehet bújtatni.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A helyzetet súlyosbította, hogy a támadási módszer RSS feedeken keresztül is megvalósítható volt, így például ha egy Slack csatorna feliratkozott valamelyik népszerű Reddit oldalra, egy azon közzétett poszttal könnyen eljuttatható volt a preparált link a célba vett felhasználókhoz - ehhez pedig még arra sem volt szükség, hogy a támadó tagja legyen az adott csatornának.

Noha a kutató szerint a hozzáértőbb Slack felhasználóknak feltűnhet egy hasonló támadás, így is komoly biztonsági problémát jelent a sérülékenység. A szakértő a HakcerOne-on keresztül jelezte a Slack felé a sebezhetőséget, a vállalat pedig a 3.4.0-s kiadásban gyorsan ki is javította azt. A cég egyúttal ki is vizsgálta a hibát, és a biztonsági szakértő blogposztja szerint a vállalat nem talált arra utaló jelet, hogy azt korábban bárki kihasználta volna.

Október 13-án 6 alkalmas, 18 órás CI/CD alapozó képzést indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roszkoszmosz

24

Saját Starlink-riválist indít Oroszország

2025. szeptember 17. 13:43

Az első indítások idén év végén jöhetnek, 2035-re valósulhat meg a teljes, országos lefedettség, beleértve az Észak-sarkvidéket.