1. 首頁 > 生活百科 > >

Slack修復了關鍵漏洞

生活百科漏洞


采訪人員,科技工作者和D&D愛好者所依賴的通訊工具上周五披露了一個“關鍵”漏洞(現已修復),該漏洞會讓黑客在用戶的計算機上瘋狂奔跑 。Slack的內部安全團隊甚至都沒有發現該錯誤 。相反,是在一月份通過漏洞懸賞平臺HackerOne進行報告的,是第三方安全人員進行的報告 。
值得注意的是,該漏洞利用程序允許執行所謂的“遠程代碼執行”,這聽起來很糟糕 。在Slack修復該漏洞之前,使用該漏洞的攻擊者可能已經做了一些相當瘋狂的事情,例如獲得“訪問私有文件,私有密鑰,密碼,秘密,內部網絡訪問等”和“訪問私有對話,文件等” 。。”
此外,根據該披露,惡意傾斜的黑客可能已經使他們的攻擊“可蠕蟲” 。換句話說,如果您團隊中的一個人被感染,他們的帳戶將自動將該危險有效負載重新分配給所有同事 。
值得強調的是,發現此漏洞的安全研究人員(該過程需要花費大量時間,而且是筆直的工作)決定采取許多人認為正確的事情,然后通過HackerOne報告給Slack 。對于安全研究人員來說,其HackerOne處理程序是oskars,這將導致$ 1,750的錯誤賞金 。
當然,如果那個人想要的話,他們可能通過將其出售給第三方漏洞利用經紀人而獲得了更多,更多的錢 。像Zerodium這樣的公司為零日攻擊提供了數百萬美元,然后將這些攻擊賣給了政府 。
計算機安全社區的成員很快指出了這種重要漏洞的相對微不足道的支出 。
通過所有這些努力,他們獲得了1750美元的
一百七十美元獎金 。@SlackHQ首先,缺陷是一個相當大的問題,我的意思是驗證很困難,但是請繼續,然后付款 。
政府是否應該要求公司支付更多的錯誤賞金?
Slack是一家價值200億美元的公司,其Bug賞金計劃的一部分為RCE支付了1750美元 。
如果研究人員將其出售給一家私人公司,他將賺取數萬美元 。
-阿隆·加爾(Aunder Gal)(突破之下)(@UnderTheBreach)2020年8月29日
驚人的報告 。太糟糕了,據報道是通過H1 。勒芒被偷走了https://t.co/wFShyrKKMr
【Slack修復了關鍵漏洞】-Dominik Penner

    猜你喜歡