欢迎来到公海710 Okta 验证 iOS 漏洞 (CVE-2024-10327) 的重要更新

简介：

iOS 版 Okta verify（版本 9.25.1 和 9.27.0）中发现了一个严重漏洞 CVE-2024-10327。无论用户的推送通知响应如何，此缺陷都允许成功进行身份验证，从而损害基于推送的 MFA 的安全性，并可能导致未经授权的访问。如果不迅速解决，此漏洞可能会使您的组织面临重大安全风险。

谁受到影响？

此问题会影响在 Okta Classic Engine 下注册的用户，即使他们已升级到 Okta Identity Engine。直接在 OIE 上创建的租户不受影响。

技术详情：

该漏洞源于 iOS上下文扩展功能，影响以下场景：

• 锁定屏幕：用户无需解锁设备即可响应推送通知，从而绕过标准身份验证。
• 主屏幕：用户可以向下滑动通知横幅来批准或拒绝身份验证，而无需进行全面的安全检查。
• 苹果手表：用户可以直接响应推送通知，无需通常的 MFA 保护措施。

当用户长按推送通知并选择“是”或“否”选项时，就会出现此问题，这两个选项都会错误地允许身份验证成功。基于CVSS 3.1系统，该漏洞已被分配高严重性评分8.1，反映其对机密性和完整性的潜在影响。

如何解决该漏洞：

为了防止此缺陷，请立即更新到 Okta verify 版本 9.27.2 或更高版本。 IT 管理员应使用 MDM/MAM 解决方案强制执行更新，并确保最终用户从 Apple App Store 更新应用程序。用户可以下载最新版本这里.

结论：

解决此漏洞对于维护组织的安全至关重要。及时更新您的设备将防止潜在的利用。更多信息请参考官方Okta 安全警告还有国家漏洞数据库.

采取行动：Okta 健康检查

您的 Okta 环境是否针对安全性进行了全面优化？ Alchemy 的 Okta Health Check 全面审查您的设置，确保其符合行业最佳实践。我们的顾问将评估您的配置、识别风险并提供量身定制的建议，以保护您的数据并加强业务运营。不要让您的身份基础设施容易受到攻击——立即安排您的 Okta 健康检查并保持弹性安全态势。

立即预约健康检查。