slack-features.jpg
Cercetătorul din securitate cibernetică Oskars Vegeris a raportat recent o vulnerabilitate critică în aplicația Slack pentru desktop, care afectează versiunile până la 4.4 ale aplicației (pentru Mac/Windows/Linux). Slack reprezintă o platformă de comunicare de afaceri dezvoltată de compania Slack Technologies, care oferă mai multe funcții în stilul Internet Relay Chat (IRC), inclusiv canale de comunicare persistente, organizate pe subiecte, grupuri separate și mesagerie directă.

Vulnerabilitatea a fost evaluată ca fiind critică, având un scor de severitatea CvSS între 9 și 10. Potrivit raportului privind detaliile despre vulnerabilitate, cu orice redirecționare în aplicație – redirecționare logică/deschisă, injecție HTML sau Javascript – este posibilă executarea codului de la distanță (RCE), implicând script-uri de tip cross-site (XSS) și injecții HTML. Exploatată cu succes, persoanele rău intenționate ar putea obține control de la distanță asupra aplicației desktop Slack, astfel având acces la canale private de comunicare, conversații, parole, jetoane și chei, iar în dependență de unele setări de configurație, aceștia ar putea să pătrundă și în rețeaua internă.

A fost publicat un raport privind descrierea tehnică a vulnerabilității, inclusiv și etapele de exploatare, pașii privind injecția HTML în vederea editării directe a structurii Slack Post ca JSON, precum și evaluarea impactului acesteia. Acest raport poate fi vizualizat aici.

Vulnerabilitatea a fost remediată, iar utilizatorilor Slack le este recomandat să se asigure că aplicația Slack pentru desktop este actualizată până la versiunea 4.4.

Preluat de la: diez.md