Версия на приложението Linkedin за iOS 9.11.8592.4 Уязвима за изчерпване на процесора

Новини
Сигурност / Версия на приложението Linkedin за iOS 9.11.8592.4 Уязвима за изчерпване на процесора 1 минута четене

LinkedIn. Линда



Уязвимост за дистанционна експлоатация, за която беше установено, че засяга 600 милиона потребители на WhatsApp през 2014 г. и дори по-изключена и включена оттогава, причинявайки отдалечени инициирани системни сривове, сега се появи в нова форма. Установено е, че версията за мобилни приложения LinkedIn версии 9.11 и по-стари за iOS съдържа уязвимост за изчерпване на ресурсите на процесора, която може да се задейства от предоставените от потребителя данни.

Уязвимостта произтича от факта, че филтърът на мобилното приложение на предоставените от потребителя данни не е в състояние да открие злонамерен или обезпокоителен вход. Когато потребител изпрати такова съобщение до друг потребител в приложението LinkedIn, при разглеждане на съобщението скриптът се чете и разглежданият код подсказва преразглеждане на процесора, което причинява срив в изчерпването.



Установено е, че уязвимостта засяга операционната система на iPhone версия 11.4.1, насочена главно към мобилните устройства iPhone 7. Когато зловредният код се чете в тази система, той причинява 48 секундно CPU време за 62 секунди, което води до 93% средно CPU. Тази средна стойност на процесора е далеч над 80% използване на процесора, прекъснато за 60 секунди, което причинява изтощение на системата и последващ срив.



Както се вижда при WhatsApp, след като кодът бъде премахнат от последния ред за съобщения, сривът на процесора спира. Това изглежда е така и в мобилното приложение на LinkedIn. За да спрете системата да се срива всеки път, когато се опитвате да рестартирате приложението, трябва да помолите потребителя, който ви е изпратил дефектния код, да ви изпрати друго обикновено съобщение, така че сривът да спре. Това не е най-лесната техника за смекчаване, когато получавате съобщения от нападатели, които умишлено се опитват да използват тази уязвимост, за да ви създадат проблеми.



The следния скрипт създаден от Juan Sacco генерира код за изтощение на процесора.

Тази уязвимост току-що се появи и LinkedIn забеляза. Фирмата все още не е публикувала актуализация, корекция или препоръки за подробно смекчаване.