В схеме шифрования JSON обнаружена критическая уязвимость

Служба безопасности Adobe сообщила о критической уязвимости в стандартной схеме шифрования JSON, которая позволяет злоумышленнику извлечь секретный ключ шифрования одного из участников защищенного соединения. Разработчикам, использующим библиотеки node-jose, go-jose, Nimbus JOSE+JWT, jose2go или jose4 с ECDH-ES, советуют скорее обновиться до последних версий.

Открытый стандарт JSON Web Token (JWT) относится к семейству OAuth, которое используется для создания токенов безопасности. Обнаруженный способ атаки полагается на эксплуатацию протоколов эллиптической криптографии, которые задействованы в процессе авторизации.

Эксперт из Adobe Антонио Сансо (Antonio Sanso) показал, как (очень) условно может работать программа злоумышленника. Для лучшего понимания методологии атаки исследователи могут также воспользоваться примерами уязвимого серверного кода и примером кода злоумышленника, опубликованными на GitHub.

Специалист из Paragon Скотт Арчишевски (Scott Arciszewski) призывает перестать использовать стандарт JWT, называя его по умолчанию ненадежным.

Источник: The Stack