Компания Google устранила уязвимость высокой критичности в своей клиентской библиотеке OAuth для Java, которой может воспользоваться злоумышленник, имеющий скомпрометированный токен, для развертывания произвольной полезной нагрузки.
Отслеживаемая как CVE-2021-22573, уязвимость имеет рейтинг критичности 8,7 из 10 и связана с обходом аутентификации в библиотеке, который возникает из-за неправильной проверки криптографической подписи.
Обнаружил уязвимость и сообщил о ней 12 марта Тамджид Аль Рахат, аспирант четвертого года обучения факультета компьютерных наук Университета Вирджинии, который получил $5 000 в рамках программы Google по поиску и устранению ошибок.
«Уязвимость заключается в том, что верификатор IDToken не проверяет, правильно ли подписан токен» - сообщается в объявлении, посвященном этой проблеме.
«Проверка подписи позволяет убедиться в том, что полезная нагрузка токена исходит от действительного владельца, а не от кого-то другого. Злоумышленник может предоставить скомпрометированный токен с произвольной полезной нагрузкой, и токен пройдет проверку на стороне клиента».
Java-библиотека с открытым исходным кодом, созданная на основе библиотеки Google HTTP Client Library for Java, позволяет получать токены доступа к любому сервису в Интернете, который поддерживает стандарт авторизации OAuth.
Google в файле README проекта на GitHub отмечает, что библиотека поддерживается в режиме обслуживания и что исправляются только необходимые ошибки, что свидетельствует о серьезности уязвимости.
Пользователям библиотеки google-oauth-java-client рекомендуется обновить ее до версии 1.33.3, выпущенной 13 апреля, чтобы снизить потенциальные риски.
Источник: https://thehackernews.com
