Hjem > Cyber ​​Nyheder > Flere sårbarheder med 1 klik i Telegram, VLC, LibreOffice (CVE-2021-30245)
CYBER NEWS

Flere sårbarheder med 1 klik i Telegram, VLC, LibreOffice (CVE-2021-30245)

Flere sårbarheder med 1 klik i Telegram, VLC, LibreOffice (CVE-2021-30245)
Hvor sikre er dine applikationer, og hvor sikker er du, mens du bruger dem?

Flere fejl med et klik i populære applikationer

Sikkerhedsforskere rapporterede om antallet af sårbarheder med et klik i flere populære software-apps, tillader trusselaktører at udføre vilkårlige angreb på eksekvering af kode. Opdaget af forskere i positiv sikkerhed, fejlene påvirker et antal bredt vedtagne apps, inklusive Telegram, VLC, LibreOffice, OpenOffice, Nextcloud, Wireshark, Mumle, og Bitcoin og Dogecoin tegnebøger.

“Desktop-applikationer, der videregiver brugerleverede URL'er til at blive åbnet af operativsystemet, er ofte sårbare over for kodeudførelse med brugerinteraktion,”Påpegede forskerne. Kodeudførelse sker enten når en URL, der linker til en ondsindet eksekverbar fil på en internetadgang til fildeling, åbnes, eller når en anden sårbarhed i URI'en til den åbnede app (Ensartet ressourceidentifikator) handler udnyttes.

“Sårbarheder efter dette mønster er allerede fundet i anden software, med mere forventes at blive afsløret fremover," rapporten tilføjet.




Hvad betyder det hele?
I lægmandssprog, sårbarhederne udløses af utilstrækkelig validering af URL-input, der kan forårsage vilkårlig udførelse af kode, når det åbnes ved hjælp af operativsystemet.

Desværre, antallet af applikationer, der ikke validerer URL'erne, er ret imponerende, skaber en mulighed for angribere til at udføre angreb på fjernudførelse af kode.
Her er en liste over apps og deres underliggende sårbarheder. Heldigvis, de fleste af dem har allerede patches:

  • Sårbarhed i Telegram, som blev rapporteret i januar 11, og patched hurtigt efter;
  • CVE-2021-22879 i Nextcloud, patched i version 3.1.3 af Desktop Client;
  • Sårbarhed i VLC Player, skal lappes i version 3.0.13, frigives i næste uge;
  • Dogecoin bug rettet i version 1.14.3;
  • Bitcoin ABV-fejl, adresseret i version 0.22.15;
  • Bitcoin Cash bug, adresseret i version 23.0.0;
  • CVE-2021-30245 i OpenOffice (rettelse, der snart vil være tilgængelig);
  • CVE-2021-25631 i LibreOffice, fast i Windows, ikke i Xubuntu;
  • CVE-2021-27229 i Mumble, patched i version 1.3.4;
  • Og CVE-2021-3331 i WinSCP, patched i version 5.17.10.

Hvad angår VLC, den patchede version 3.0.13 skulle frigives inden den 9. april; dog, frigivelsen er blevet udsat. Plasteret skal være tilgængeligt i næste uge.

“Problemerne var lette at finde, og vi havde en høj succesrate, når vi kontrollerede applikationer for denne sårbarhed. Derfor, vi forventer, at der opdages flere sårbarheder af denne type, når vi ser på andre applikationer eller UI-rammer,”Konkluderede rapporten.

En anden farlig sårbarhed i Telegram blev løst i januar

I februar, sikkerhedsforsker Dhiraj Mishra opdagede det Telegram indeholdt et privatlivssårbarhed i sin macOS-app.

Fejlen var i version 7.3 af Telegram til macOS. Heldigvis, problemet blev hurtigt patchet i version 7.4, som blev frigivet i slutningen af ​​januar. Forskeren opdagede, at hvis en bruger åbner Telegram på macO'er for at sende en optaget lyd- eller videobesked i en normal chat, appen lækker stien til sandkassen, hvor den optagede besked er gemt i en ".mp4" -fil. Hvis brugeren udfører den samme handling i en normal chat, meddelelsen blev gemt på samme sti.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig