Slack,
plate-forme de communication et de collaboration populaire, a corrigé une
vulnérabilité critique qui aurait pu permettre aux pirates d'accéder aux
ordinateurs des utilisateurs. La vulnérabilité a été signalée par un
chercheur en sécurité via le programme HackerOne bug bounty.
Selon
le chercheur, l'exploit aurait pu permettre à des pirates de lancer une «
exécution de code à distance ». "Cela leur aurait donné accès aux
fichiers privés, clés privées, mots de passe, secrets, accès au réseau interne
des utilisateurs". Ainsi que des conversations et des fichiers privés
au sein de la plateforme.
«
Avec n'importe quelle redirection intégrée à l'application - redirection
logique / ouverte, injection HTML ou JavaScript, il est possible d'exécuter du
code arbitraire dans les applications de bureau Slack. Ce rapport illustre
un exploit spécialement conçu consistant en une injection HTML, un
contournement du contrôle de sécurité et une charge utile Javascript RCE. Cet
exploit a été testé comme fonctionnant sur les dernières versions de Slack pour
ordinateur de bureau (4.2, 4.3.2) (Mac / Windows / Linux) », a écrit le
chercheur dans un article , désormais accessible au public.
Fait
intéressant, Slack a payé au chercheur seulement 1750 $ pour avoir signalé le
bogue. De nombreux chercheurs ont critiqué Slack pour avoir donné si peu
d'argent pour signaler un bug aussi critique. Certains ont également
souligné que le chercheur aurait pu gagner plus d'argent en vendant les données
à une autre entreprise.
«
Notre programme de primes aux bogues est essentiel pour assurer la sécurité de
Slack. Nous apprécions profondément les contributions des communautés de
sécurité et de développeurs, et nous continuerons à revoir notre échelle de
paiement pour nous assurer que nous reconnaissons leur travail et créons de la
valeur pour nos clients», a déclaré le porte-parole de la société à Mashable.
.png)
.png)
COMMENTS