LinkedIn. Lynda
Kaugeltkasutatav haavatavus, mis leiti, et see mõjutas 2014. aastal 600 miljonit WhatsAppi kasutajat ja veelgi enam välja lülitatud ja kaugelt algatatud süsteemi krahhi põhjustades, on nüüd taas uues vormis esile kerkinud. On leitud, et iOS-i LinkedIini mobiilirakenduse versioonid 9.11 ja vanemad sisaldavad protsessori ressursside ammendumise haavatavust, mille võib käivitada kasutaja sisestatud sisend.
Haavatavus tuleneb asjaolust, et mobiilirakenduse kasutaja sisestatud filter ei suuda tuvastada pahatahtlikku või tülikat sisendit. Kui kasutaja saadab sellise sõnumi teisele kasutajale rakenduses LinkedIn, loetakse sõnumi vaatamisel skript ja vaadatud kood palub protsessori kapitaalremondi, mis põhjustab ammendumise krahhi.
Leiti, et haavatavus mõjutab iPhone'i operatsioonisüsteemi versiooni 11.4.1, mis on peamiselt suunatud iPhone 7 mobiilseadmetele. Kui selles süsteemis loetakse pahatahtlikku koodi, põhjustab see 48 sekundi keskprotsessori aja 62 sekundi jooksul, mis põhjustab 93% protsessori keskmise. See protsessori keskmine on kaugelt üle 80-protsendilise protsessori kasutamise, mis katkeb 60 sekundi jooksul, mis põhjustab süsteemi ammendumist ja sellest tulenevat krahhi.
Nagu nähtus WhatsAppist, peatub CPU krahh pärast koodi eemaldamist viimaselt sõnumirealt. See paistab olevat nii ka LinkedIni mobiilirakenduses. Süsteemi krahhi peatamiseks iga kord, kui proovite rakendust taaskäivitada, peate paluma vigase koodi saatnud kasutajal teile veel ühe selge sõnumi, et krahh peatuks. See pole kõige lihtsam leevendustehnika, kui saate teateid ründajatelt, kes soovivad seda haavatavust tahtlikult ära kasutada, et teile probleeme tekitada.
The järgmine skript Juan Sacco loodud kood tekitab protsessori ammendumise.
See haavatavus on just ilmnenud ja LinkedIn on sellest märku võtnud. Firma pole veel avaldanud värskendust, parandust ega leevendust käsitlevat nõuandet.
