Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Посты и сниппеты, отправленные в публичные каналы, остаются там даже после отмены этого действия.
Механизм обмена файлами в Slack содержит серьезную уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации. Об этом заявили ИБ-специалисты израильской компании Polyrize.
По мнению экспертов, файлы, размещенные в приватной переписке или закрытом чате, могут стать доступны пользователям вне этой беседы. Разработчики мессенджера назвали баг недостатком интерфейса и не планируют вносить изменения в алгоритмы программы.
Как следует из видео, опубликованного исследователями, любой участник закрытого чата имеет возможность переслать выложенные там посты и сниппеты в публичные каналы, где они станут доступны всем пользователям рабочего пространства. ИБ-специалисты выяснили, что данные остаются в общем чате, даже если автор применил функцию unsharing, которая должна заблокировать доступ.
Представитель Polyrize отметил, что эксплуатация уязвимости возможна не только через графический интерфейс мессенджера, но и при использовании API приложения.
Эксперты сообщили о своей находке разработчикам Slack, однако те не собираются вносить изменения в работу программы. Как пояснили создатели мессенджера, проблема касается лишь двух опций для расшаривания объемного контента — Posts и Snippets, в то время как большинство файлов, которыми пользователи обмениваются в Slack, к этим типам не относится. Представители команды Slack поблагодарили исследователей и обещали скорректировать пользовательский интерфейс, однако подчеркнули, что модель безопасности обмена сниппетами и постами останется неизменной.
В мае 2019 года ИБ-специалист Дэвид Уэллс (David Wells) нашел уязвимость в механизме загрузки файлов из Slack. Эксперт выяснил, что Windows-приложение неправильно обрабатывает ссылки вида slack://. Используя баг, злоумышленник мог изменить адрес сохранения объектов, указав в качестве целевой папки даже удаленный сервер. Жертве достаточно было перейти по вредоносной ссылке, чтобы ее загрузки стали доступны киберпреступнику. Разработчики Slack залатали баг с выпуском версии 3.4.0.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |