LinkedIn. Lynda
O vulnerabilitate exploatabilă de la distanță care s-a constatat că afectează 600 de milioane de utilizatori WhatsApp în 2014 și chiar mai mult și mai mult de atunci, provocând blocaje de sistem inițiate de la distanță, a reapărut acum într-o nouă formă. S-a constatat că versiunile aplicației mobile LinkedIn 9.11 și mai vechi pentru iOS conțin o vulnerabilitate de epuizare a resurselor CPU care poate fi declanșată de intrarea furnizată de utilizator.
Vulnerabilitatea apare din faptul că filtrul aplicației mobile de intrare furnizată de utilizator nu este capabil să detecteze intrările dăunătoare sau supărătoare. Atunci când un utilizator trimite un astfel de mesaj altui utilizator din aplicația LinkedIn, la vizualizarea mesajului, scriptul este citit și codul vizualizat solicită o revizuire a procesorului care provoacă un blocaj de epuizare.
Se constată că vulnerabilitatea are impact asupra versiunii 11.4.1 a sistemului de operare iPhone, vizând în principal dispozitivele mobile iPhone 7. Când codul rău intenționat este citit pe acest sistem, acesta provoacă un timp de procesare de 48 de secunde peste 62 de secunde, ceea ce implică o medie de 93% a procesorului. Această medie a procesorului este cu mult peste utilizarea de 80% a procesorului întreruptă în decurs de 60 de secunde, ceea ce provoacă epuizarea sistemului și consecința blocării.
După cum s-a văzut cu WhatsApp, odată ce codul este eliminat de pe cea mai recentă linie de mesaje, blocarea procesorului încetează. Acesta pare să fie cazul și în aplicația mobilă LinkedIn. Pentru a împiedica blocarea sistemului de fiecare dată când încercați să relansați aplicația, trebuie să solicitați utilizatorului care v-a trimis codul defect să vă trimită un alt mesaj simplu, astfel încât blocarea să se oprească. Aceasta nu este cea mai ușoară tehnică de atenuare atunci când primiți mesaje de la atacatori care doresc în mod deliberat să exploateze această vulnerabilitate pentru a vă cauza probleme.
urmând scriptul creat de Juan Sacco generează epuizarea procesorului provocând codul.
Această vulnerabilitate tocmai a apărut și LinkedIn a luat cunoștință. O firmă nu a lansat încă o recomandare de actualizare, corecție sau atenuare.
