В схеме шифрования JSON обнаружена критическая уязвимость
Новости
3К открытий3К показов
Служба безопасности Adobe сообщила о критической уязвимости в стандартной схеме шифрования JSON, которая позволяет злоумышленнику извлечь секретный ключ шифрования одного из участников защищенного соединения. Разработчикам, использующим библиотеки node-jose, go-jose, Nimbus JOSE+JWT, jose2go или jose4 с ECDH-ES, советуют скорее обновиться до последних версий.
Открытый стандарт JSON Web Token (JWT) относится к семейству OAuth, которое используется для создания токенов безопасности. Обнаруженный способ атаки полагается на эксплуатацию протоколов эллиптической криптографии, которые задействованы в процессе авторизации.
Эксперт из Adobe Антонио Сансо (Antonio Sanso) показал, как (очень) условно может работать программа злоумышленника. Для лучшего понимания методологии атаки исследователи могут также воспользоваться примерами уязвимого серверного кода и примером кода злоумышленника, опубликованными на GitHub.
Специалист из Paragon Скотт Арчишевски (Scott Arciszewski) призывает перестать использовать стандарт JWT, называя его по умолчанию ненадежным.
3К открытий3К показов
Город Колумбус подал иск против исследователя кибербезопасности Дэвида Лероя Росса (Коннора Гудвольфа) за незаконное скачивание и распространение данных, украденных после атаки программы-вымогателя Rhysida
МТС разработал собственный антифрод-сервис. Алгоритм умеет определять ещё на этапе авторизации надёжность пользователя.
«Лаборатория Касперского» еще в 2023 году нашла серьезную уязвимость в iOS, за которую должна была получить $1 млн. Но Apple отказалась переводить деньги даже на благотворительность
Разработчик-энтузиаст подробно изучил механизм паник в Rust и успешно перенес его в .NET, используя статические конструкторы и исключения