LinkedIn. Lynda
Una vulnerabilidad explotable de forma remota que se descubrió que afectaba a 600 millones de usuarios de WhatsApp en 2014 e incluso más de forma intermitente desde entonces al causar bloqueos del sistema iniciados de forma remota ahora ha resurgido en una nueva forma. Se ha descubierto que las versiones 9.11 y anteriores de la aplicación móvil de LinkedIn para iOS contienen una vulnerabilidad de agotamiento de los recursos de la CPU que puede desencadenarse por la entrada proporcionada por el usuario.
La vulnerabilidad surge del hecho de que el filtro de la aplicación móvil de entrada proporcionada por el usuario no puede detectar entradas maliciosas o problemáticas. Cuando un usuario envía un mensaje de este tipo a otro usuario en la aplicación de LinkedIn, al ver el mensaje, se lee el script y el código visualizado solicita una revisión de la CPU que provoca un bloqueo por agotamiento.
Se encontró que la vulnerabilidad afecta la versión 11.4.1 del sistema operativo del iPhone, y se dirige principalmente a los dispositivos móviles iPhone 7. Cuando se lee el código malicioso en este sistema, provoca un tiempo de CPU de 48 segundos en 62 segundos, lo que incurre en un promedio de CPU del 93%. Este promedio de CPU está muy por encima del 80% de uso de CPU cortado durante 60 segundos, lo que provoca el agotamiento del sistema y el consiguiente bloqueo.
Como se ve con WhatsApp, una vez que se elimina el código de la línea de mensaje más reciente, cesa el bloqueo de la CPU. Este parece ser también el caso de la aplicación móvil de LinkedIn. Para evitar que el sistema se bloquee cada vez que intente reiniciar la aplicación, debe pedirle al usuario que le envió el código defectuoso que le envíe otro mensaje sencillo para que el bloqueo se detenga. Esta no es la técnica de mitigación más sencilla cuando recibe mensajes de atacantes que buscan deliberadamente aprovechar esta vulnerabilidad para causarle problemas.
los siguiente guión creado por Juan Sacco genera el código que causa el agotamiento de la CPU.
Esta vulnerabilidad acaba de surgir y LinkedIn se ha dado cuenta. La empresa aún no ha publicado un aviso detallado de actualización, parche o mitigación.
