Letzten Monat hat Google eine hochgefährliche Schwachstelle in seiner OAuth-Client-Bibliothek für Java behoben, die von einem böswilligen Akteur mit einem kompromittierten Token missbraucht werden könnte, um beliebige Nutzdaten zu verteilen.
Die Schwachstelle wird als CVE-2021-22573 eingestuft und hat einen Schweregrad von 8,7 von 10. Sie bezieht sich auf eine Umgehung der Authentifizierung in der Bibliothek, die auf eine fehlerhafte Überprüfung der kryptografischen Signatur zurückzuführen ist.
Die Schwachstelle wurde am 12. März von Tamjid Al Rahat entdeckt und gemeldet, einem Doktoranden der Informatik an der University of Virginia im vierten Jahr, der im Rahmen des Bug Bounty Programms von Google mit 5.000 US-Dollar belohnt wurde.
„Die Schwachstelle besteht darin, dass der IDToken Verifier nicht überprüft, ob das Token ordnungsgemäß signiert ist“, heißt es in einem Advisory zu der Schwachstelle.
„Die Überprüfung der Signatur stellt sicher, dass die Nutzdaten des Tokens von einem gültigen Anbieter stammen und nicht von jemand anderem. Ein Angreifer kann einen kompromittierten Token mit benutzerdefinierten Nutzdaten bereitstellen. Der Token wird die Validierung auf der Client-Seite bestehen.
Die quelloffene Java-Bibliothek, die auf der Google HTTP Client Library für Java aufbaut, ermöglicht es, Zugangstoken für jeden Dienst im Internet zu erhalten, der den OAuth-Autorisierungsstandard unterstützt.
Google weist in seiner README-Datei für das Projekt auf GitHub darauf hin, dass die Bibliothek im Wartungsmodus unterstützt wird und dass nur notwendige Fehler behoben werden, was ein Hinweis auf die Schwere der Sicherheitslücke ist.
Nutzern der Bibliothek google-oauth-java-client wird empfohlen, auf die Version 1.33.3 zu aktualisieren, die am 13. April veröffentlicht wurde, um das Risiko zu minimieren.