Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов - «Новости» » Новости мира Интернет
sitename
Google представила Gemini 3 Pro и среду агентного программирования Antigravity - «Новости мира Интернет»
Google представила Gemini 3 Pro и среду агентного программирования Antigravity - «Новости мира Интернет»
 Lumia Health анонсировала серьги, измеряющие приток крови к голове - «Новости мира Интернет»
Lumia Health анонсировала серьги, измеряющие приток крови к голове - «Новости мира Интернет»
 Сбер выпустил Kandinsky 5.0 – новое поколение моделей для генерации изображений и видео - «Новости мира Интернет»
Сбер выпустил Kandinsky 5.0 – новое поколение моделей для генерации изображений и видео - «Новости мира Интернет»
 Google объявила о лучших приложениях и играх на Android в 2025 году - «Новости мира Интернет»
Google объявила о лучших приложениях и играх на Android в 2025 году - «Новости мира Интернет»
 Обновление Telegram: трансляции в историях, регулярные сообщения, аукционы подарков - «Новости мира Интернет»
Обновление Telegram: трансляции в историях, регулярные сообщения, аукционы подарков - «Новости мира Интернет»
 «Столько циников!»: глава ИИ Microsoft раскритиковал недовольных нашествием ИИ-агентов в Windows - «Новости сети»
«Столько циников!»: глава ИИ Microsoft раскритиковал недовольных нашествием ИИ-агентов в Windows - «Новости сети»
 Смартфоны Poco F7 и Poco X7 Pro сочетают яркий дизайн с высокой производительностью - «Новости сети»
Смартфоны Poco F7 и Poco X7 Pro сочетают яркий дизайн с высокой производительностью - «Новости сети»
 NASA показало самые детальные изображения межзвёздной кометы 3I/ATLAS - «Новости сети»
NASA показало самые детальные изображения межзвёздной кометы 3I/ATLAS - «Новости сети»
 Игровые видеокарты теперь приносят всего 7,5 % выручки Nvidia — ИИ-чипы разогнали доходы до $57 млрд - «Новости сети»
Игровые видеокарты теперь приносят всего 7,5 % выручки Nvidia — ИИ-чипы разогнали доходы до $57 млрд - «Новости сети»
 AMD и Nvidia готовятся урезать или даже полностью остановить выпуск дешёвых видеокарт из-за глобального дефицита памяти - «Новости сети»
AMD и Nvidia готовятся урезать или даже полностью остановить выпуск дешёвых видеокарт из-за глобального дефицита памяти - «Новости сети»
Новости мира Интернет » Новости » Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов - «Новости»

✔Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов - «Новости»

03 сентября 2020 734 Новости 0
Исследователь обнаружил критические уязвимости и в Slack и получил за это 1750 долларов - «Новости»

Хакинг для новичков


  • Содержание выпуска

  • Подписка на «Хакер»


Специалист Evolution Gaming рассказал, как в начале 2020 года он нашел ряд критических багов в Slack, которые позволяли без особенного труда добиться выполнения произвольного кода на машине пользователя. Как стало известно теперь, когда детали уязвимостей были раскрыты, а сами проблемы устранены, компания заплатила специалисту всего 1750 долларов, из-за чего подверглась резкой критике со стороны ИБ-сообщества.


В пятисекундном демо, которое исследователь приложил к своему отчету на HackerOne, видно, что он использует файл JSON, чтобы спровоцировать запуска калькулятора через Slack на машине жертвы. В отчете специалист перечисляет несколько способов вредоносной эксплуатации приложений Slack, но конечным результатом является выполнение произвольного кода на стороне клиента, то есть на компьютере пользователя. Уязвимы были десктопные версии Slack (4.2, 4.3.2) для Mac, Windows и Linux.


В сущности, с помощью обнаруженных багов злоумышленник мог осуществить HTML-инъекцию, выполнение произвольного кода, а также XSS-атаку из-за проблемы на files.slack.com. HTML/jаvascript PoC-эксплоит, опубликованный Вигерисом, наглядно показывает, как легко запустить через Slack приложение калькулятора или что-либо другое.


«URL-ссылка в теге area содержит HTML/JS эксплоит для приложения Slack Desktop, и тот  выполняет любую команду, предоставленную злоумышленником», — объясняет эксперт.


PoC-эксплоит

Однако в данном случае интересны не только сами уязвимости, обнаруженные Вигерисом, но тот факт, что компания выплатила ему лишь 1570 долларов. ИБ-сообщество уже осудило Slack, которым пользуются более 10 000 000 людей ежедневно, и многие специалисты отмечают, что если бы кто-то продал подобный эксплоит в даркнете, он заработал бы куда больше 1570 долларов.




Также теперь стало известно, что два месяца назад в блоге Slack появился рекламный пост, посвященный песочнице для приложений (app sandbox). Но разработчики не упоминали в тексте детали уязвимостей, которые привели к ее разработке, а также забыли сослаться на нашедшего проблемы Вигериса. Теперь в компании извинились перед исследователем, исправили тот самый пост, а также пообещали предпринять все необходимые шаги для того, чтобы все, кто вносит вклад в улучшение безопасности Slack, были признаны.


Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Хакинг для новичков Содержание выпуска Подписка на «Хакер» Специалист Evolution Gaming рассказал, как в начале 2020 года он нашел ряд критических багов в Slack, которые позволяли без особенного труда добиться выполнения произвольного кода на машине пользователя. Как стало известно теперь, когда детали уязвимостей были раскрыты, а сами проблемы устранены, компания заплатила специалисту всего 1750 долларов, из-за чего подверглась резкой критике со стороны ИБ-сообщества. В пятисекундном демо, которое исследователь приложил к своему отчету на HackerOne, видно, что он использует файл JSON, чтобы спровоцировать запуска калькулятора через Slack на машине жертвы. В отчете специалист перечисляет несколько способов вредоносной эксплуатации приложений Slack, но конечным результатом является выполнение произвольного кода на стороне клиента, то есть на компьютере пользователя. Уязвимы были десктопные версии Slack (4.2, 4.3.2) для Mac, Windows и Linux. В сущности, с помощью обнаруженных багов злоумышленник мог осуществить HTML-инъекцию, выполнение произвольного кода, а также XSS-атаку из-за проблемы на files.slack.com. HTML/jаvascript PoC-эксплоит, опубликованный Вигерисом, наглядно показывает, как легко запустить через Slack приложение калькулятора или что-либо другое. «URL-ссылка в теге area содержит HTML/JS эксплоит для приложения Slack Desktop, и тот выполняет любую команду, предоставленную злоумышленником», — объясняет эксперт. PoC-эксплоит Однако в данном случае интересны не только сами уязвимости, обнаруженные Вигерисом, но тот факт, что компания выплатила ему лишь 1570 долларов. ИБ-сообщество уже осудило Slack, которым пользуются более 10 000 000 людей ежедневно, и многие специалисты отмечают, что если бы кто-то продал подобный эксплоит в даркнете, он заработал бы куда больше 1570 долларов. It's just ridiculous, honestly. My feeling it's almost trolling the researcher in this case. And then people seriously be annoyed by
CSS
запостил(а)
Warren
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация