Podruhé za poslední měsíc byla objevena nebezpečná chyba v populárním bezpečnostním open-source software. Chyba byla tentokrát nalezena v přihlašovacím nástroji OAuth a OpenID, který využívá mnoho webových stránek včetně Google, Facebooku, Microsoftu, LinkedIn, Yahoo, GitHub a mnoha dalších.
Problém, který objevil student technologické univerzity v Singapuru Wang Jing, umožňuje zobrazit pop-up okno překrývající samotné přihlašování, do kterého uživatel poté zadá své přihlašovací údaje s tím, že si myslí, že se jedná o skutečný login webové stránky. Chyba taktéž umožní útočníkovi nechat přesměrovat uživatele při zadávání přihlašovacích údajů na stránky útočníka a tím získat jeho přihlašovací údaje. Wang Jing uvedl, že kontaktoval hlavní administrátory společnosti stojící za OpenID a Oauth, ale dodal, že oprava této chyby se snadněji řekne než udělá.
Na opravě se však samozřejmě již začalo pracovat a bezpečnostní experti společně s Wang Jingem a administrátory se snaží problém odstranit co nejdříve. Všichni se však shodují na tom, že například ve srovnání s Hearthbleed je problém mnohem méně závažný. K použití výše uvedených postupů je totiž potřeba dalších specifických postupů a nastavení serveru a tak se uživatelé nemusí v současné době obávat o svá data.
*Zdroj: cultofmac.com
