Wie sicher sind Ihre Anwendungen?, und wie sicher sind Sie bei der Verwendung?
Mehrere One-Click-Fehler in beliebten Anwendungen
Sicherheitsforscher berichteten über die Fülle von Ein-Klick-Sicherheitslücken in mehreren gängigen Software-Apps, Ermöglichen, dass Bedrohungsakteure willkürliche Codeausführungsangriffe ausführen. Entdeckt von Forschern der positiven Sicherheit, Die Mängel betreffen eine Reihe weit verbreiteter Apps, einschließlich Telegramm, VLC, Libreoffice, Openoffice, Nächste Wolke, wireshark, Murmeln, und Bitcoin und Dogecoin Brieftaschen.
„Desktop-Anwendungen, die vom Benutzer bereitgestellte URLs zum Öffnen durch das Betriebssystem übergeben, sind häufig anfällig für die Codeausführung mit Benutzerinteraktion,Die Forscher wiesen darauf hin. Die Codeausführung erfolgt entweder, wenn eine URL geöffnet wird, die auf eine schädliche ausführbare Datei auf einer über das Internet zugänglichen Dateifreigabe verweist, oder wenn eine andere Sicherheitsanfälligkeit in der URI der geöffneten App vorliegt (Einheitliche Ressourcenkennung) Handler wird ausgenutzt.
„Sicherheitslücken, die diesem Muster folgen, wurden bereits in anderer Software gefunden, Weitere werden voraussichtlich in Zukunft bekannt gegeben," der Bericht hinzugefügt.
Was bedeutet das alles??
In juristischer Hinsicht, Die Sicherheitsanfälligkeiten werden durch eine unzureichende Überprüfung der URL-Eingabe ausgelöst, die zu einer willkürlichen Codeausführung führen kann, wenn mit Hilfe des Betriebssystems geöffnet.
Leider, Die Anzahl der Anwendungen, bei denen die URLs nicht überprüft werden können, ist beeindruckend, Schaffung einer Möglichkeit für Angreifer, Angriffe zur Ausführung von Remotecode auszuführen.
Hier ist eine Liste der Apps und ihrer zugrunde liegenden Schwachstellen. Zum Glück, Die meisten von ihnen haben bereits Patches:
- Sicherheitslücke im Telegramm, das wurde im Januar berichtet 11, und schnell danach gepatcht;
- CVE-2021-22879 in Nextcloud, in der Version gepatcht 3.1.3 von Desktop Client;
- Sicherheitslücke im VLC Player, in der Version gepatcht werden 3.0.13, wird nächste Woche veröffentlicht;
- Dogecoin-Fehler in Version behoben 1.14.3;
- Bitcoin ABV-Fehler, in der Version angesprochen 0.22.15;
- Bitcoin Cash Bug, in der Version angesprochen 23.0.0;
- CVE-2021-30245 in OpenOffice (Fix, um bald verfügbar zu sein);
- CVE-2021-25631 in LibreOffice, in Windows behoben, nicht in Xubuntu;
- CVE-2021-27229 in Mumble, in der Version gepatcht 1.3.4;
- Und CVE-2021-3331 in WinSCP, in der Version gepatcht 5.17.10.
Wie für VLC, die gepatchte Version 3.0.13 musste vor dem 9. April freigelassen werden; jedoch, Die Veröffentlichung wurde verschoben. Der Patch sollte nächste Woche verfügbar sein.
„Die Probleme waren leicht zu finden und wir hatten eine hohe Erfolgsquote bei der Überprüfung von Anwendungen auf diese Sicherheitsanfälligkeit. Deshalb, Wir erwarten, dass weitere Schwachstellen dieses Typs entdeckt werden, wenn andere Anwendungen oder UI-Frameworks betrachtet werden,Der Bericht schloss.
Eine weitere gefährliche Sicherheitslücke in Telegram wurde im Januar behoben
Im Februar, Der Sicherheitsforscher Dhiraj Mishra entdeckte das Das Telegramm enthielt eine Datenschutzlücke in seiner macOS-App.
Der Fehler lag in der Version 7.3 von Telegramm für macOS. Zum Glück, Das Problem wurde in der Version schnell behoben 7.4, die Ende Januar veröffentlicht wurde. Der Forscher stellte fest, dass ein Benutzer das Telegramm auf MacOs öffnet, um eine aufgezeichnete Audio- oder Videonachricht in einem normalen Chat zu senden, Die App würde den Sandbox-Pfad verlieren, in dem die aufgezeichnete Nachricht in einer ".mp4" -Datei gespeichert ist. Wenn der Benutzer dieselbe Aktion in einem normalen Chat ausführt, Die Nachricht würde auf demselben Pfad gespeichert.