LinkedIn. Lynda
En fjärrutnyttjbar sårbarhet som visade sig påverka 600 miljoner WhatsApp-användare 2014 och ännu mer av och på sedan dess genom att orsaka fjärrinitierade systemkrascher har nu återuppstått i en ny form. LinkedIn-applikationerna version 9.11 och äldre för iOS har visat sig innehålla en sårbarhet för CPU-resursutmattning som kan utlösas av input från användaren.
Sårbarheten härrör från det faktum att mobilapplikationens filter av användarinmatning inte kan upptäcka skadlig eller besvärlig inmatning. När en användare skickar ett sådant meddelande till en annan användare i LinkedIn-applikationen, när man visar meddelandet, läses manuset och den visade koden uppmanar en CPU-översyn som orsakar en utmattningskrasch.
Sårbarheten har påverkat iPhones operativsystemversion 11.4.1, främst inriktad på iPhone 7 mobila enheter. När den skadliga koden läses av i det här systemet orsakar det en CPU-tid på 48 sekunder under 62 sekunder vilket ger ett genomsnitt på 93%. Detta CPU-genomsnitt ligger långt över 80% CPU-användning avbruten under 60 sekunder vilket orsakar systemutmattning och därmed krasch.
Som framgår av WhatsApp upphör CPU-kraschen när koden har tagits bort från den senaste meddelandelinjen. Detta verkar också vara fallet i LinkedIn-mobilapplikationen. För att förhindra att systemet kraschar varje gång du försöker starta om applikationen måste du be användaren som skickade den felaktiga koden att skicka ett annat vanligt meddelande till dig så att kraschen stoppas. Detta är inte den enklaste teknik för att mildra när du får meddelanden från angripare som medvetet vill utnyttja denna sårbarhet för att orsaka problem.
De följande skript skapad av Juan Sacco genererar CPU-utmattning som orsakar kod.
Denna sårbarhet har just dykt upp och LinkedIn har lagt märke till. En uppdatering, korrigering eller åtgärdande information med information har inte släppts av företaget ännu.
