Slakk sårbarhet lar angripere fange, endre nedlastinger

Video: 5 funksjoner som gjør Slack mer funksjonell for virksomheten Slack er et enormt populært samarbeidsverktøy, og det er mange funksjoner som gjør det mer nyttig. Her er fem av dem.

Et sikkerhetsproblem i Slack Desktop-klienten i Windows som lar ondsinnede aktører stjele eller manipulere nedlastinger fra brukere, ble oppdaget av sikkerhetsforskningsfirmaet Tenable, på grunn av en feil i måten Slack behandler klikkbare lenker, og hvordan slakk: // URI fungerer.

Sårbarheten "kan tillate en ekstern angriper å sende inn en maskeret lenke i en slakk kanal, som 'hvis klikket' av et offer, stille ville endre nedlastingsstedets innstilling for den slappe klienten til en angriper som eide SMB-andel, " Tenable forsker David Wells skrev i et tirsdag blogginnlegg. "Dette vil tillate alle fremtidige nedlastede dokumenter av offeret å ende opp med å bli lastet opp til en angripereid filserver til innstillingen blir endret manuelt tilbake av offeret. Mens han er på angriperens server, kan angriperen ikke bare stjele dokumentet, men til og med endre den før den åpnes av offeret etter nedlasting (gjennom Slack-applikasjonen). "

Wells bemerker også at sårbarheten kan brukes av ondsinnede aktører som ikke er medlemmer av en bestemt kanal ved bruk av RSS-feeds, som kan sendes i en kanal, som inneholder lenker.

Slack Desktop-klienten, som er bygd med Electron, blir ofte kritisert for ineffektivitet. Appen har et rykte for å konsumere massemengder CPU og RAM, med den bemerkede programmereren Matthew O'Riordan som skrev i 2017 at ressursforbruket øker lineært med antall kontoer som er lagt til klienten. Mens Slack har løst problemet, og tatt skritt for å redusere minnefotavtrykket, har Electron-applikasjoner i sin natur - som en selvstendig node.js, V8 og Chromium-pakke - betydelig overhead sammenlignet med "native" desktop-applikasjoner.

Elektronplattformen inneholder også sine egne sårbarheter. Et sårbarhet fra 2018 i tilpassede URI-er for Electron-apper, gjorde at angripere eksternt kan utføre kode, bare på Windows.

Electron er imidlertid her for å bli, ettersom rammen brukes til meldingsprogrammer som Skype, Signal, Wire og Discord, og GitHubs tekstredigeringsprogram Atom.

Slack oppdaterte Windows Desktop-klienten til 3.4.0 for å løse dette sikkerhetsproblemet. I følge Tenable har "Slack undersøkt og ikke funnet noen indikasjon på at denne sårbarheten noen gang ble brukt, og heller ikke rapporter om at brukerne ble påvirket."

Slack er ikke den eneste meldingsplattformen som står overfor sikkerhetsproblemer, ettersom en Whatsapp-feil lar hackere installere spyware på telefonen din bare med en telefonsamtale.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com