IBM พึ่งปล่อย security update patch เพื่อใช้อุดช่องโหว่ที่ถูกค้นพบใน Worklight และ MobileFirst
โดย Gabriele Gristina ที่ปรึกษาด้านความปลดภัยของบริษัทรักษาความปลอดภัยทางข้อมูล Emaze Network
ในขณะทำการตรวจสอบเพื่อหาช่องโหว่ใน Application mobile โดยช่องโหว่ที่ถูกค้นพบนั้นสามารถใช้ JavaScript เพื่อขโมยข้อมูลสำคัญใน Browser ของมือถือได้ Gristina ค้นพบช่องโหว่นี้ตั้งแต่ 29 สิงหาคม 2016
Gristina พบจุดอ่อน XSS ในผลิตภัณฑ์ OAuth Server’s Web API ขณะที่ทำการทดสอบหาช่องโหว่บน Application อุปกรณ์มือถือ
Gristina กล่าวว่าฟังก์ชัน Authorization ของ RESTful web API นั้นไม่สามารถตรวจสอบ Input ที่ส่งผ่านพารามิเตอร์ GET ได้ ดังนั้นการเจาะระบบจึงง่ายดาย เพียงแค่นำคำสั่งเจาะระบบ(Payload) ไปต่อท้ายค่า Value ปกติที่ส่งผ่านพารามิเตอร์ GET ที่เรียกว่า “scope.”
ช่องโหว่นี้อาจทำให้ผู้ไม่หวังดีใช้ฝังโค้ดตามต้องการใน Web UI ซึ่งอาจเปลี่ยนแปลงฟังก์ชันการทำงานตามต้องการ และนำไปสู่การเปิดเผยข้อมูลรับรองในเซสชั่นที่เชื่อถือได้
ณ ตอนนี้ Worklight รุ่น 6.1 และ 6.2 และ MobileFirst รุ่น 6.3, 7.0, 7.1 และ 8.0 จะยังมีความเสี่ยง แต่ผู้ใช้สามารถดาวน์โหลด Platform เวอร์ชัน 6.1.0.2, 6.2.0.1, 6.3.0.0, 7.0.0.0, 7.1.0.0, 8.0.0.0 ไปใช้ผ่านทาง IBM's FixCentral portal
ที่มา : threatpost
You must be logged in to post a comment.