Google bulan lalu mengatasi kelemahan tingkat tinggi di pustaka klien OAuth untuk Java yang dapat disalahgunakan oleh aktor jahat dengan token yang dikompromikan untuk menyebarkan muatan yang berubah-ubah.
Dilacak sebagai CVE-2021-22573kerentanan dinilai 8,7 dari 10 untuk tingkat keparahan dan terkait dengan bypass otentikasi di perpustakaan yang berasal dari verifikasi tanda tangan kriptografi yang tidak tepat.
Dikreditkan dengan menemukan dan melaporkan cacat pada 12 Maret adalah Tamjid Al Rahat, Ph.D. mahasiswa Ilmu Komputer di University of Virginia, yang telah diberikan $5,000 sebagai bagian dari program hadiah bug Google.
“Kerentanannya adalah bahwa pemverifikasi IDToken tidak memverifikasi apakah token ditandatangani dengan benar,” sebuah nasihat untuk cacat itu berbunyi.
“Verifikasi tanda tangan memastikan bahwa muatan token berasal dari penyedia yang valid, bukan dari orang lain. Penyerang dapat memberikan token yang disusupi dengan muatan khusus. Token akan melewati validasi di sisi klien.”
Pustaka Java sumber terbuka, yang dibuat di Pustaka Klien HTTP Google untuk Java, memungkinkan untuk memperoleh token akses ke layanan apa pun di web yang mendukung standar otorisasi OAuth.
Google, dalam file README untuk proyek di GitHub, mencatat bahwa perpustakaan didukung dalam mode pemeliharaan dan hanya memperbaiki bug yang diperlukan, yang menunjukkan tingkat keparahan kerentanan.
Pengguna perpustakaan google-oauth-java-client disarankan untuk memperbarui ke versi 1.33.3, yang dirilis pada 13 April, untuk mengurangi potensi risiko apa pun.