XSS Sicherheitslücke im Okta Browser Plugin

Table of Contents

Das Okta Browser Plugin, Versionen 6.5.0 bis 6.31.0 für Chrome, Edge, Firefox und Safari, ist anfällig für Cross-Site Scripting (XSS). Die Schwachstelle CVE-2024-098 tritt auf, wenn das Plugin den Benutzer auffordert, neue Anmeldedaten in Okta Personal zu speichern. Ein Fix wurde in Version 6.32.0 implementiert, der die Eingabefelder korrekt entschärft und so die Sicherheitslücke schließt. Wichtig: Ist Okta Personal nicht hinzugefügt, ist das Workforce Identity Cloud Plugin nicht betroffen.

Suchanfrage für Admins:

Okta Admins können den folgenden Query verwenden, um Benutzer zu finden, die noch veraltete Plugin-Versionen nutzen: debugContext.debugData.oktaUserAgentExtended ne "okta-browser-plugin/6.32.0" and debugContext.debugData.oktaUserAgentExtended co "okta-browser-plugin/".

Weitere Informationen finden Sie in den offiziellen Sicherheitshinweisen von Okta.

Related Posts

USA verbieten Kaspersky-Software

Das US-Handelsministerium hat am 20. Juni 2024 die Nutzung der Kaspersky-Software in den USA untersagt. Die Entscheidung folgt auf Bedenken, dass die Software der russischen Firma ein erhebliches nationales Sicherheitsrisiko darstellt.

Read More

Cyberangriff bei Müllentsorgungsfirma MERB in Achern

Am Wochenende des 18.7.24 kam es bei den Mittelbadischen Entsorgungs- und Recyclingbetrieben (MERB) in Achern zu einem Cyberangriff. Wie die Geschäftsführerin Kathrin Gerber-Schaufler mitteilte, wurde der Angriff durch einen Hinweis entdeckt. Dank eines Notfallplans konnte die Firma schnell die Kontrolle über die Situation erlangen. Unterstützt wird MERB dabei von einem IT-Systemhaus aus der Ortenau.

Read More

Mutmassliches Datenleck bei Accenture

Im Juni 2024 hat ein kam es laut DarkWebInformer zu einem Datenleck bei Accenture, einem führenden IT Beratungsunternehmen mit einem Jahresumsatz von 64,5 Milliarden US-Dollar, bei dem Daten von 32.826 aktuellen und ehemaligen Mitarbeitern offengelegt worden sind. Es wurden E-Mail-Adressen, vollständige Namen und Rundfunktermine kompromittiert.

Read More