skip to Main Content

Cyber Security, scoperte nuove vulnerabilità in GoToMeeting

Cyber Security, Scoperte Nuove Vulnerabilità In GoToMeeting

Swascan trova nuove vulnerabilità in GoToMeeting, il servizio di web conference, e coopera con l’azienda per risolverle

Scoperte nuove vulnerabilità in GoToMeeting, il servizio di web conference di Citrix Systems. Le criticità , trovate dagli esperti di cyber security di Swascan, impattavano aspetti di Confidentiality, Integrity e Availability. Queste sono CWE-20 (Improper Input Validation), CWE-287 (Improper Authentication) e CWE-476 (NULL Pointer Dereference). Una volta identificate le falle, l’azienda italiana fondata da Raoul Chiesa e Pierguido Iezzi, ha avvisato la controparte. A quel punto, le due entità hanno lavorato tempestivamente insieme per risolverle. “Finalmente, il mondo della Cyber security sta vivendo una sorta di ‘disgelo’ a favore del principio di collaborazione tra i vari attori, fino a qualche anno fa un vero e proprio tabù – ha spiegato Iezzi -. Siamo estremamente soddisfatti della tempestiva e professionale collaborazione tra Swascan e LogMeIn, l’azienda dietro GoToMeeting”.

Le falle, secondo gli esperti di cyber security, sono di tre tipi: CWE-20 (Improper Input Validation), CWE-287 (Improper Authentication) e CWE-476 (NULL Pointer Dereference)

Riguardo alle falle nella cyber security di GoToMeeting, nella CWE-20 il prodotto non convalida o convalida erroneamente gli input che possono influenzare il flusso di controllo o il flusso di dati di un programma. Grazie a ciò, un aggressore è in grado di creare input in una forma non è prevista dal resto dell’applicazione e parti del sistema riceveranno input non intenzionali, che possono comportare un flusso di controllo alterato, un controllo arbitrario di una risorsa o un’esecuzione arbitraria del codice. La CWE-287, invece, vede un attore dichiarare di avere una determinata identità, ma il software non prova o lo fa in modo insufficiente che la dichiarazione è corretta. Infine, la CWE-476 si verifica quando l’applicazione dereferenzia un puntatore che si aspetta di essere valido, ma è NULL, causando tipicamente un incidente o un’uscita.

Back To Top