Hvor sikre er dine applikationer, og hvor sikker er du, mens du bruger dem?
Flere fejl med et klik i populære applikationer
Sikkerhedsforskere rapporterede om antallet af sårbarheder med et klik i flere populære software-apps, tillader trusselaktører at udføre vilkårlige angreb på eksekvering af kode. Opdaget af forskere i positiv sikkerhed, fejlene påvirker et antal bredt vedtagne apps, inklusive Telegram, VLC, LibreOffice, OpenOffice, Nextcloud, Wireshark, Mumle, og Bitcoin og Dogecoin tegnebøger.
“Desktop-applikationer, der videregiver brugerleverede URL'er til at blive åbnet af operativsystemet, er ofte sårbare over for kodeudførelse med brugerinteraktion,”Påpegede forskerne. Kodeudførelse sker enten når en URL, der linker til en ondsindet eksekverbar fil på en internetadgang til fildeling, åbnes, eller når en anden sårbarhed i URI'en til den åbnede app (Ensartet ressourceidentifikator) handler udnyttes.
“Sårbarheder efter dette mønster er allerede fundet i anden software, med mere forventes at blive afsløret fremover," rapporten tilføjet.
Hvad betyder det hele?
I lægmandssprog, sårbarhederne udløses af utilstrækkelig validering af URL-input, der kan forårsage vilkårlig udførelse af kode, når det åbnes ved hjælp af operativsystemet.
Desværre, antallet af applikationer, der ikke validerer URL'erne, er ret imponerende, skaber en mulighed for angribere til at udføre angreb på fjernudførelse af kode.
Her er en liste over apps og deres underliggende sårbarheder. Heldigvis, de fleste af dem har allerede patches:
- Sårbarhed i Telegram, som blev rapporteret i januar 11, og patched hurtigt efter;
- CVE-2021-22879 i Nextcloud, patched i version 3.1.3 af Desktop Client;
- Sårbarhed i VLC Player, skal lappes i version 3.0.13, frigives i næste uge;
- Dogecoin bug rettet i version 1.14.3;
- Bitcoin ABV-fejl, adresseret i version 0.22.15;
- Bitcoin Cash bug, adresseret i version 23.0.0;
- CVE-2021-30245 i OpenOffice (rettelse, der snart vil være tilgængelig);
- CVE-2021-25631 i LibreOffice, fast i Windows, ikke i Xubuntu;
- CVE-2021-27229 i Mumble, patched i version 1.3.4;
- Og CVE-2021-3331 i WinSCP, patched i version 5.17.10.
Hvad angår VLC, den patchede version 3.0.13 skulle frigives inden den 9. april; dog, frigivelsen er blevet udsat. Plasteret skal være tilgængeligt i næste uge.
“Problemerne var lette at finde, og vi havde en høj succesrate, når vi kontrollerede applikationer for denne sårbarhed. Derfor, vi forventer, at der opdages flere sårbarheder af denne type, når vi ser på andre applikationer eller UI-rammer,”Konkluderede rapporten.
En anden farlig sårbarhed i Telegram blev løst i januar
I februar, sikkerhedsforsker Dhiraj Mishra opdagede det Telegram indeholdt et privatlivssårbarhed i sin macOS-app.
Fejlen var i version 7.3 af Telegram til macOS. Heldigvis, problemet blev hurtigt patchet i version 7.4, som blev frigivet i slutningen af januar. Forskeren opdagede, at hvis en bruger åbner Telegram på macO'er for at sende en optaget lyd- eller videobesked i en normal chat, appen lækker stien til sandkassen, hvor den optagede besked er gemt i en ".mp4" -fil. Hvis brugeren udfører den samme handling i en normal chat, meddelelsen blev gemt på samme sti.