Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

02 września 2020, 14:45 | W biegu | komentarze 2
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość:

Slack wypłacił bounty w wysokości 1750$, co zostało w społeczności odebrane jako dość niska kwota – a pojawiły się nawet kontrowersyjne wpisy innych firm, mówiące, że za ten sam błąd zapłaciłyby ponad 10000$.

Dokładniej technicznie temu błędowi przyjrzymy się podczas najbliższego BOTW w czwartek o 19:00.

–mb 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Nism0

    Albo czegoś nie rozumiem, albo jest błąd w opisie (na hackerone). Badacz podaje, że testował podatność na najwnoszej wersji 4.2 i 4.3, podczas gdy najwnoszą wersją jest 4.9.
    O co chodzi?

    Odpowiedz
    • Może dlatego że zgłoszenie było 4 miesiące temu? (choć disclose dopiero teraz)

      Odpowiedz

Odpowiedz