Lỗ hổng nghiêm trọng trong thư viện ứng dụng OAuth của Google dành cho Java (CVE-2021-22573)

  • Google đã giải quyết một lỗ hổng nghiêm trọng trong thư viện Oauth. Lỗ hổng này liên quan đến Java và có thể bị hacker lợi dụng với các token đã bị trộm để triển khai payload tuỳ ý.
  • Được biết đến với mã định danh là CVE-2021-22573 (CVSS: 8.7), lỗ hổng liên quan đến việc bỏ qua xác thực trong thư viện bắt nguồn từ việc xác minh không đúng chữ ký số.
  • Chữ ký số giúp đảm bảo payload của token đến từ một nhà cung cấp được đảm bảo là hợp lệ. Với lỗ hổng này, hacker có thể cung cấp token với payload tuỳ ý mà không cần phải xác thực chữ kí số.
  • Người dùng thư viện google-oauth-java-client nên cập nhật lên phiên bản 1.33.3, phát hành vào ngày 13 tháng 4, để giảm thiểu mọi rủi ro tiềm ẩn.

Chi tiết xem thêm tại Link

Các tin khác

Microsoft khai tử IE
Microsoft khai tử IE
Sau 25 năm tồn tại, Microsoft cuối cùng cũng quyết định khai tử trình duyệt Internet Explorer vào ngày 17/8/2021.
Chi tiết
Lỗi truy cập không cần chìa của xe hơi Honda (CVE-2022-27254) có thể cho phép kẻ trộm mở khóa và khởi động xe từ xa. Hãng tuyên bố không có bản vá.
Lỗi truy cập không cần chìa của xe hơi Honda (CVE-2022-27254) có thể cho phép kẻ trộm mở khóa và khởi động xe từ xa. Hãng tuyên bố không có bản vá.
Honda's Keyless Access Bug Could Let Thieves Remotely Unlock and Start Vehicles
Chi tiết
NGINX chia sẻ các biện pháp giảm thiểu lỗi 0-day ảnh hưởng đến việc triển khai LDAP
NGINX chia sẻ các biện pháp giảm thiểu lỗi 0-day ảnh hưởng đến việc triển khai LDAP
NGINX Shares Mitigations for Zero-Day Bug Affecting LDAP Implementation
Chi tiết