Приложение Linkedin для iOS версии 9.11.8592.4 уязвимо к истощению ЦП

Приложение Linkedin для iOS версии 9.11.8592.4 Уязвимо к истощению ЦП

Безопасность / Приложение Linkedin для iOS версии 9.11.8592.4 Уязвимо к истощению ЦП 1 минута на чтение

LinkedIn. Линда

Удаленно эксплуатируемая уязвимость, которая, как было обнаружено, затронула 600 миллионов пользователей WhatsApp в 2014 году и даже больше, периодически вызывая сбои системы, запускаемые удаленно, теперь появилась в новой форме. Было обнаружено, что мобильное приложение LinkedIn версии 9.11 и старше для iOS содержит уязвимость, связанную с исчерпанием ресурсов ЦП, которая может быть вызвана вводом данных пользователем.

Уязвимость возникает из-за того, что фильтр мобильного приложения вводимых пользователем данных не может обнаружить злонамеренный или нежелательный ввод. Когда пользователь отправляет такое сообщение другому пользователю в приложении LinkedIn, при просмотре сообщения сценарий считывается, и просматриваемый код запрашивает капитальный ремонт ЦП, что приводит к сбою из-за нехватки ресурсов.

Установлено, что уязвимость затрагивает операционную систему iPhone версии 11.4.1, в первую очередь нацелена на мобильные устройства iPhone 7. Когда вредоносный код считывается в этой системе, он вызывает 48-секундное время процессора в течение 62 секунд, что в среднем составляет 93%. Это среднее значение ЦП намного превышает 80% использования ЦП, отключенное за 60 секунд, что приводит к истощению системы и последующему сбою.

Как видно из WhatsApp, после удаления кода из самой последней строки сообщения сбой ЦП прекращается. Судя по всему, это относится и к мобильному приложению LinkedIn. Чтобы предотвратить сбой системы каждый раз, когда вы пытаетесь перезапустить приложение, вы должны попросить пользователя, который отправил вам ошибочный код, отправить вам другое простое сообщение, чтобы сбой прекратился. Это не самый простой способ защиты, когда вы получаете сообщения от злоумышленников, которые намеренно пытаются использовать эту уязвимость, чтобы доставить вам неприятности.

В следующий сценарий созданный Хуаном Сакко, генерирует код, вызывающий истощение ЦП.

xda деблоатер

Эта уязвимость только что появилась, и LinkedIn обратила на нее внимание. Компания еще не выпустила рекомендаций по обновлению, исправлению или смягчению последствий.