谷歌修复Java OAuth客户端库漏洞 媒体
谷歌OAuth Java客户端库的高危漏洞已修复
关键要点
谷歌OAuth Java客户端库发现了一个高危漏洞CVE202122573,攻击者可利用漏洞进行任意负载部署。该漏洞由伤害通过验证未正确签名的IDToken引起。用户应尽快升级到1333版本以避免受到影响。发现该漏洞的维吉尼亚大学学生Tamjid Al Rahat获得了5000的奖励。谷歌的OAuth客户端库在上个月修复了一个高危漏洞,这一漏洞涉及到Java平台。根据漏洞报告,攻击者若获取了受损的令牌,就可能利用这个漏洞进行任意代码的部署。这个漏洞被追踪为CVE202122573,并在漏洞咨询中有详细说明。“这个漏洞在于IDToken验证器未能验证令牌是否经过适当签名。签名验证确保令牌的有效负载来自一个合法的提供者,而不是来自其他来源。攻击者可以提供带有自定义负载的受损令牌,这个令牌将在客户端通过验证,”咨询称。
谷歌指出,该库目前处于维护模式,只会处理必要的漏洞更新。同时,用户被建议及时实施库的版本1333,以防止遭受危害。
维吉尼亚大学的学生Tamjid Al Rahat因发现并报告这个漏洞而受到认可,谷歌根据其漏洞赏金计划向他提供了5000美元的奖励。
更多信息可参考以下链接: 谷歌博客 漏洞详细报告
漏洞信息详细内容漏洞类型高危漏洞漏洞追踪IDCVE202122573影响的库版本谷歌 OAuth Java 客户端库推荐修复版本1333发现者Tamjid Al Rahat奖励金额5000请各位用户关注并及时更新,以确保安全性。
加速器国外永久免费版下载