LinkedIn. Lynda
Attālināti izmantojama ievainojamība, kas 2014. gadā skāra 600 miljonus WhatsApp lietotāju un kopš tā laika vēl vairāk izslēgta un ieslēgta, izraisot attālināti iniciētas sistēmas avārijas, tagad ir parādījusies jaunā formā. Ir konstatēts, ka mobilo lietojumprogrammu LinkedIn 9.11 un vecākas versijas iOS satur CPU resursu izsmelšanas ievainojamību, ko var izraisīt lietotāja ievadīta ievade.
Neaizsargātība rodas no tā, ka mobilās lietojumprogrammas lietotāju nodrošinātās ievades filtrs nespēj noteikt ļaunprātīgu vai traucējošu ievadi. Kad lietotājs LinkedIn lietojumprogrammā nosūta šādu ziņojumu citam lietotājam, apskatot ziņojumu, skripts tiek nolasīts un skatītais kods liek pamudināt CPU, kas izraisa izsīkuma avāriju.
Tiek atklāts, ka ievainojamība ietekmē iPhone operētājsistēmas 11.4.1 versiju, galvenokārt mērķējot uz iPhone 7 mobilajām ierīcēm. Kad ļaunprātīgais kods tiek nolasīts šajā sistēmā, tas izraisa 48 sekunžu CPU laiku 62 sekundēs, kas rada 93% vidējo CPU. Šis CPU vidējais rādītājs ir krietni virs 80% CPU izmantošanas pārtraukuma 60 sekundēs, kas izraisa sistēmas izsīkumu un no tā izrietošo avāriju.
Kā redzams vietnē WhatsApp, pēc koda noņemšanas no pēdējās ziņojumu rindas CPU avārija tiek pārtraukta. Šķiet, ka tas notiek arī LinkedIn mobilajā lietojumprogrammā. Lai apturētu sistēmas avāriju katru reizi, kad mēģināt restartēt lietojumprogrammu, jums jāprasa lietotājam, kurš jums nosūtīja kļūdaino kodu, nosūtīt jums vēl vienu vienkāršu ziņojumu, lai avārija apstātos. Šī nav vieglākā mazināšanas metode, kad saņemat ziņojumus no uzbrucējiem, kuri apzināti vēlas izmantot šo ievainojamību, lai sagādātu jums nepatikšanas.
The sekojošais skripts izveidoja Huans Tabo, ģenerē centrālā procesora izsīkumu izraisošo kodu.
Šī ievainojamība ir tikko parādījusies, un LinkedIn ir to ievērojis. Atjauninājumu, plāksteri vai detalizētu padomu uzņēmums vēl nav izlaidis.
![[FIX] Maldināšana neizdevās ielādēt profilu](https://jf-balio.pt/img/how-tos/94/deceit-failed-load-profile.png)
