LinkedIn. Lynda
Une vulnérabilité exploitable à distance qui affectait 600 millions d'utilisateurs de WhatsApp en 2014 et encore plus depuis lors en provoquant des pannes système initiées à distance a maintenant refait surface sous une nouvelle forme. Il a été constaté que les versions 9.11 et antérieures de l'application mobile LinkedIn pour iOS contiennent une vulnérabilité d'épuisement des ressources du processeur qui peut être déclenchée par une entrée fournie par l'utilisateur.
La vulnérabilité provient du fait que le filtre de l’application mobile des entrées fournies par l’utilisateur est incapable de détecter les entrées malveillantes ou gênantes. Lorsqu'un utilisateur envoie un tel message à un autre utilisateur sur l'application LinkedIn, lors de la visualisation du message, le script est lu et le code affiché demande une révision du processeur qui provoque un crash d'épuisement.
La vulnérabilité a un impact sur la version 11.4.1 du système d'exploitation de l'iPhone, ciblant principalement les appareils mobiles iPhone 7. Lorsque le code malveillant est lu sur ce système, il provoque un temps processeur de 48 secondes sur 62 secondes, ce qui entraîne une moyenne de 93% du processeur. Cette moyenne du processeur est bien au-dessus des 80% d'utilisation du processeur coupés en 60 secondes, ce qui provoque l'épuisement du système et le crash qui en résulte.
Comme vu avec WhatsApp, une fois que le code est supprimé de la ligne de message la plus récente, le crash du processeur cesse. Cela semble également être le cas dans l'application mobile de LinkedIn. Afin d'empêcher le système de planter chaque fois que vous essayez de relancer l'application, vous devez demander à l'utilisateur qui vous a envoyé le code défectueux de vous envoyer un autre message clair afin que le crash s'arrête. Ce n’est pas la technique d’atténuation la plus simple lorsque vous recevez des messages d’attaquants qui cherchent délibérément à exploiter cette vulnérabilité pour vous causer des problèmes.
le script suivant créé par Juan Sacco génère l'épuisement du processeur provoquant le code.
Cette vulnérabilité vient d'apparaître et LinkedIn en a pris note. Un avis de mise à jour, de correctif ou d'atténuation n'a pas encore été publié par l'entreprise.
