Уязвимость в библиотеке Intel CrossWalk позволяет осуществить MitM-атаку

image

Теги: SSL-сертификат, уязвимость, атака

Уязвимость позволяет принять недоверенный SSL-сертификат.

Исследователи из компании Nightwatch Cybersecurity сообщили об обнаружении уязвимости в кросс-платформенной библиотеке Intel CrossWalk, предназначенной для разработки приложений под iOS, Windows Phone и Android.

Уязвимость ( CVE-2016-5672 ) существует из-за ошибки в реализации фреймворка для разработки под Android, позволяющей перманентно принять недоверенный SSL-сертификат. В результате приложение больше не пытается осуществить валидацию любых других SSL-сертификатов. Удаленный пользователь может обменом заставить жертву принять недоверенный сертификат, осуществить атаку «человек посередине» и похитить важные данные.

Специалисты Nightwatch Cybersecurity проинформировали о проблеме команду разработчиков Intel CrossWalk. В настоящее время исправленные версии библиотеки - 19.49.514.5 (stable), 20.50.533.11 (beta), 21.51.546.0 (beta), 22.51.549.0 (canary) уже доступны на сайте разработчика. 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.