לינקדאין. לינדה
פגיעות שניתנה לניצול מרחוק שנמצאה משפיעה על 600 מיליון משתמשי וואטסאפ בשנת 2014 ואף יותר מכך והלאה מאז על ידי גרימת קריסות מערכת יזומות מרחוק, צצה כעת מחדש בצורה חדשה. יישומי הנייד של לינקדאין בגרסאות 9.11 ואילך עבור iOS נמצאו כמכילים פגיעות של מיצוי משאבי מעבד שיכולה להיות מופעלת על ידי קלט שמספק המשתמש.
הפגיעות נובעת מכך שמסנן הקלט של היישום הנייד אינו מסוגל לזהות קלט זדוני או בעייתי. כאשר משתמש שולח הודעה כזו למשתמש אחר באפליקציית לינקדאין, עם צפייה בהודעה, הקריאה של הסקריפט והקוד הנצפה מבקש שיפוץ מעבד הגורם לקרוס תשישות.
נמצא כי הפגיעות משפיעה על גרסת 11.4.1 של מערכת ההפעלה של אייפון, והיא מכוונת בעיקר למכשירים הניידים של אייפון 7. כאשר קוראים את הקוד הזדוני במערכת זו, זה גורם לזמן מעבד של 48 שניות לאורך 62 שניות, מה שמביא לממוצע של 93% במעבד. ממוצע מעבד זה גבוה בהרבה מ- 80% השימוש במעבד המנותק לאורך 60 שניות הגורם למיצוי המערכת ולהתרסקות כתוצאה מכך.
כפי שניתן לראות ב- WhatsApp, ברגע שהקוד יוסר משורת ההודעות האחרונה, קריסת המעבד נפסקת. נראה שזה המקרה גם באפליקציה הסלולרית של לינקדאין. על מנת למנוע את קריסת המערכת בכל פעם שאתה מנסה להפעיל מחדש את היישום, עליך לבקש מהמשתמש ששלח לך את הקוד הפגום לשלוח לך הודעה רגילה נוספת כדי שההתרסקות תיפסק. זו לא טכניקת ההפגה הקלה ביותר כשאתה מקבל הודעות מתוקפים המחפשים לנצל את הפגיעות בכוונה כדי לגרום לך צרות.
ה התסריט הבא שנוצר על ידי חואן סאקו מייצר קוד הגורם למיצוי המעבד.
פגיעות זו התעוררה זה עתה ולינקדאין שמה לב. המשרד לא פרסם עדכון, תיקון או הפחתה.
