Povezan sa CSFL-om

Otkriven veliki propust na Facebook Messengeru

U novembru prošle godine, sigurnosni istraživači su otkrili Facebook propust koji je sajtovima omogućavao da izvlače podatke iz korisničkih profila, a sve zahvaljujući sigurnosnom propustu povezanom sa CSFL-om (cross-site frame leakage).
Objavljeno: 21. 03. 2019 - 14:08 Promjenite veličinu teksta: A A A

Sada je isti tim otkrio ranjivost koja je sajtovima omogućavala da vide s kim je korisnik razgovarao u Facebook Messengeru, prenosi Balkan Android.

Ron Masas, sigurnosni istraživač kompanije Imperva, je u blog objavi objasnio kako CSFL napad može da iskoristi iFrame elemente kako bi odredio stanje aplikacije.

Pokretanje procesa kroz individualne Messenger kontakte bi omogućilo jedno od sva stanja (puno ili prazno), ukazujući na to da li je korisnik ikada komunicirao sa tim kontaktom ili ne.

Ovo je praktično sve što je bag radio, a nije bio u mogućnosti da izvlači detalje o razgovoru i da prisvaja podatke iz istorije razgovora, navodi izvor.

Facebook je obavješten o postojanju baga, a kompanija je odlučila da u potpunosti ukloni sve iFrame elemete iz Messenger interfejsa, efektivno nudeći zakrpu za otkriveni problem.

Komentari: 0

Novi komentar