El mes pasado, Google abord\u00f3 una falla de alta gravedad en su biblioteca de cliente OAuth para Java que podr\u00eda ser abusada por un actor malintencionado con un token comprometido para implementar cargas \u00fatiles arbitrarias.<\/p>\n
rastreado como CVE-2021-22573<\/strong>la vulnerabilidad tiene una calificaci\u00f3n de 8,7 sobre 10 en cuanto a gravedad y se relaciona con una omisi\u00f3n de autenticaci\u00f3n en la biblioteca que se deriva de una verificaci\u00f3n incorrecta de la firma criptogr\u00e1fica.<\/p>\n Acreditado con el descubrimiento e informe de la falla el 12 de marzo es Tamyid Al Rahat<\/a>, un doctorado de cuarto a\u00f1o. estudiante de Ciencias de la Computaci\u00f3n en la Universidad de Virginia, que recibi\u00f3 $ 5,000 como parte del programa de recompensas por errores de Google.<\/p>\n “La vulnerabilidad es que el verificador IDToken no verifica si el token est\u00e1 firmado correctamente”, un consultivo<\/a> para el defecto lee.<\/p>\n “La verificaci\u00f3n de la firma garantiza que la carga \u00fatil del token provenga de un proveedor v\u00e1lido, no de otra persona. Un atacante puede proporcionar un token comprometido con una carga \u00fatil personalizada. El token pasar\u00e1 la validaci\u00f3n en el lado del cliente”.<\/p>\n el c\u00f3digo abierto biblioteca Java<\/a>construida sobre la Biblioteca de cliente HTTP de Google para Java<\/a>hace posible obtener tokens de acceso a cualquier servicio en la web que soporte el est\u00e1ndar de autorizaci\u00f3n OAuth.<\/p>\n Google, en su archivo l\u00e9ame<\/a> para el proyecto en GitHub, se\u00f1ala que la biblioteca es compatible con el modo de mantenimiento y que solo corrige los errores necesarios, lo que indica la gravedad de la vulnerabilidad.<\/p>\n Se recomienda a los usuarios de la biblioteca google-oauth-java-client que actualicen a versi\u00f3n 1.33.3<\/a>publicado el 13 de abril, para mitigar cualquier riesgo potencial.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n