పేట్పాల్ హ్యాకర్లు ఓత్ టోకెన్లను దొంగిలించకుండా నిరోధించడానికి క్లిష్టమైన ప్యాచ్ను జారీ చేస్తుంది
విషయ సూచిక:
వీడియో: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] 2024
పేపాల్తో సహా అనేక ఇంటర్నెట్ దిగ్గజాలు ఉపయోగించే టోకెన్-ఆధారిత ప్రామాణీకరణ కోసం OAuth ఓపెన్ స్టాండర్డ్గా పనిచేస్తుంది. అందువల్ల వినియోగదారుల నుండి OAuth టోకెన్లను దొంగిలించడానికి హ్యాకర్లను అనుమతించే ఆన్లైన్ చెల్లింపుల సేవలో ఒక క్లిష్టమైన లోపం కనుగొనడం పేపాల్ స్క్రాంబ్లింగ్ను ఒక ప్యాచ్ను బయటకు పంపించడానికి పంపింది.
భద్రతా పరిశోధకుడు మరియు అడోబ్ సాఫ్ట్వేర్ ఇంజనీర్ అయిన ఆంటోనియో సాన్సో తన సొంత OAuth క్లయింట్ను పరీక్షించిన తర్వాత ఈ లోపాన్ని కనుగొన్నాడు. పేపాల్తో పాటు, ఫేస్బుక్ మరియు గూగుల్ వంటి ఇతర ప్రధాన ఇంటర్నెట్ సేవల్లో కూడా సాన్సో అదే దుర్బలత్వాన్ని గుర్తించింది.
అనువర్తనాలకు నిర్దిష్ట ప్రామాణీకరణ టోకెన్లను ఇవ్వడానికి పేపాల్ దారిమార్పు_యూరి పరామితిని నిర్వహించే విధానంలో సమస్య ఉందని సాన్సో చెప్పారు. దారిమార్పు_యూరి పరామితిని ధృవీకరించడానికి ఈ సేవ 2015 నుండి మెరుగైన దారిమార్పు తనిఖీలను ఉపయోగిస్తోంది. అయినప్పటికీ, సెప్టెంబరులో వ్యవస్థపై దర్యాప్తు ప్రారంభించినప్పుడు సాన్సో ఈ తనిఖీలను దాటవేయకుండా ఆపలేదు.
పేపాల్ డెవలపర్లను వారి అనువర్తనాలను సేవతో చేర్చుకోవడానికి టోకెన్ అభ్యర్థనలను ఉత్పత్తి చేయగల డాష్బోర్డ్ను ఉపయోగించడానికి అనుమతిస్తుంది. ఫలితంగా టోకెన్ అభ్యర్థనలు పేపాల్ ప్రామాణీకరణ సర్వర్కు పంపబడతాయి. ఇప్పుడు, ప్రామాణీకరణ ప్రక్రియలో పేపాల్ లోకల్ హోస్ట్ను చెల్లుబాటు అయ్యే దారిమార్పు_యూరి పరామితిగా ఎలా గుర్తించాలో సాన్సో లోపం కనుగొంది. ఈ పద్ధతి OAuth ను తప్పుగా అమలు చేసిందని ఆయన అన్నారు.
ధ్రువీకరణ వ్యవస్థను గేమింగ్ చేస్తుంది
సాన్సో అప్పుడు పేపాల్ యొక్క ధ్రువీకరణ వ్యవస్థకు వెళ్లి, లేకపోతే రహస్యమైన OAuth ప్రామాణీకరణ టోకెన్లను బహిర్గతం చేస్తుంది. అతను తన వెబ్సైట్కు ఒక నిర్దిష్ట డొమైన్ నేమ్ సిస్టమ్ ఎంట్రీని జోడించడం ద్వారా సిస్టమ్ను మోసగించగలిగాడు, పేపాల్ యొక్క ఖచ్చితమైన సరిపోలిక ధ్రువీకరణ ప్రక్రియను అధిగమించడానికి లోకల్ హోస్ట్ మేజిక్ పదంగా పనిచేస్తుందని పేర్కొన్నాడు.
సాన్సో ప్రకారం బలహీనత ఏదైనా పేపాల్ OAuth క్లయింట్ను రాజీ చేస్తుంది. OAuth క్లయింట్ను తయారుచేసేటప్పుడు చాలా ప్రత్యేకమైన దారిమార్పు_యూరిని సృష్టించమని ఆయన వినియోగదారులకు సూచించారు. సాన్సో ఒక బ్లాగ్ పోస్ట్లో ఇలా వ్రాశాడు:
DO రిజిస్టర్ https: // yourouauthclientcom / oauth / oauthprovider / callback. కేవలం https: // yourouauthclientcom / లేదా https: // yourouauthclientcom / oauth.
పేన్పాల్ మొదట సాన్సో యొక్క ఫలితాలను నమ్మలేదు, అయినప్పటికీ సంస్థ చివరికి తన నిర్ణయాన్ని పున ons పరిశీలించి, ఇప్పుడు లోపానికి పరిష్కారాన్ని జారీ చేసింది.
ఇవి కూడా చదవండి:
- ఉపయోగించడానికి 7 ఉత్తమ విండోస్ 10 ఇన్వాయిస్ సాఫ్ట్వేర్
- విండోస్ 10 మొబైల్ కోసం వాలెట్ ఇన్సైడర్లకు కాంటాక్ట్లెస్ మొబైల్ చెల్లింపులను తెస్తుంది
మైక్రోసాఫ్ట్ ఇంటర్నెట్ ఎక్స్ప్లోరర్ మరియు గ్రాఫిక్స్ కోసం క్లిష్టమైన ప్యాచ్ను విడుదల చేస్తుంది
ఇంటర్నెట్ ఎక్స్ప్లోరర్ మరియు గ్రాఫిక్స్ సంబంధిత సమస్యలను పరిష్కరించడానికి మైక్రోసాఫ్ట్ ఇటీవల రూపొందించిన ఒక ముఖ్యమైన ప్యాచ్ను విడుదల చేసింది. ఈ ప్యాచ్ మైక్రోసాఫ్ట్ ఎడ్జ్లోని సమస్యలతో పాటు ఇతర విషయాలతో పాటు చాలా ముఖ్యమైనది. ఈ ప్యాచ్ పరిష్కరించడానికి రూపొందించబడిన ఇతర సమస్యలు మైక్రోసాఫ్ట్ ఆఫీస్లో కనిపించే మెమరీ అవినీతి లోపాలతో పాటు గ్రాఫిక్స్ RCE దుర్బలత్వం…
క్లిష్టమైన సున్నా-రోజు దోపిడీని పరిష్కరించడానికి మొజిల్లా అత్యవసర ప్యాచ్ను విడుదల చేస్తుంది
మొజిల్లా Chrome కు ఇలాంటి నవీకరణ విడుదల చక్రంను స్వీకరించింది మరియు ఇది షెడ్యూల్ను ఖచ్చితంగా అనుసరిస్తుంది. అత్యవసర విడుదలలు మినహా సంస్థ దాని నవీకరణ షెడ్యూల్ నుండి చాలా అరుదుగా మళ్ళిస్తుంది. మొజిల్లా ఇటీవల తన వినియోగదారులందరికీ ఒక హెచ్చరికను విడుదల చేసింది మరియు వీలైనంత త్వరగా వారి బ్రౌజర్లను నవీకరించమని సిఫారసు చేసింది. మొజిల్లాను బలవంతం చేసే ప్రధాన అంశం ఉంది…
యుఎస్బి పోర్టులను నిరోధించడానికి మరియు చొరబాటుదారులను నిరోధించడానికి 5 ఉత్తమ సాఫ్ట్వేర్
మీరు USB పోర్ట్లను నిరోధించడానికి సాఫ్ట్వేర్ కోసం చూస్తున్నట్లయితే, గిలిసాఫ్ట్ USB లాక్, USB బ్లాక్ లేదా మా జాబితా నుండి ఏదైనా ఇతర ఎంట్రీని ప్రయత్నించండి.