¿Qué tan seguras son sus aplicaciones?, y qué tan seguro estás mientras los usas?
Múltiples errores de un clic en aplicaciones populares
Los investigadores de seguridad informaron la abundancia de vulnerabilidades de un clic en múltiples aplicaciones de software populares, Permitir a los actores de amenazas realizar ataques de ejecución de código arbitrario.. Descubierto por investigadores de Positive Security, las fallas afectan a una serie de aplicaciones ampliamente adoptadas, incluido Telegram, VLC, LibreOffice, Oficina abierta, Nextcloud, Wireshark, Mascullar, y Bitcoin y carteras Dogecoin.
"Las aplicaciones de escritorio que pasan las URL proporcionadas por el usuario para que el sistema operativo las abra son frecuentemente vulnerables a la ejecución de código con la interacción del usuario.,”Señalaron los investigadores. La ejecución del código se produce cuando se abre una URL que enlaza con un ejecutable malicioso en un recurso compartido de archivos accesible en Internet., o cuando otra vulnerabilidad en el URI de la aplicación abierta (Identificador uniforme de recursos) el manejador es explotado.
“Ya se han encontrado vulnerabilidades que siguen este patrón en otro software, y se espera que se revelen más en el futuro," el informe agregado.
Qué significa todo eso?
En términos sencillos, las vulnerabilidades se desencadenan por una validación de entrada de URL insuficiente que puede causar la ejecución de código arbitrario, cuando se abre con la ayuda del sistema operativo.
Desafortunadamente, la cantidad de aplicaciones que no pueden validar las URL es bastante impresionante, creando una posibilidad para que los atacantes lleven a cabo ataques de ejecución remota de código.
A continuación, se muestra una lista de las aplicaciones y sus vulnerabilidades subyacentes.. Afortunadamente, la mayoría de ellos ya tienen parches:
- Vulnerabilidad en Telegram, que se informó en enero 11, y parcheado rápidamente después;
- CVE-2021-22879 en Nextcloud, parcheado en la versión 3.1.3 de cliente de escritorio;
- Vulnerabilidad en VLC Player, para ser parcheado en la versión 3.0.13, para ser lanzado la próxima semana;
- Error de Dogecoin corregido en la versión 1.14.3;
- Error de Bitcoin ABV, abordado en la versión 0.22.15;
- Error de Bitcoin Cash, abordado en la versión 23.0.0;
- CVE-2021-30245 en OpenOffice (arreglo para estar disponible pronto);
- CVE-2021-25631 en LibreOffice, arreglado en Windows, no en Xubuntu;
- CVE-2021-27229 en Mumble, parcheado en la versión 1.3.4;
- Y CVE-2021-3331 en WinSCP, parcheado en la versión 5.17.10.
En cuanto a VLC, la versión parcheada 3.0.13 tenía que ser liberado antes del 9 de abril; sin embargo, su lanzamiento ha sido pospuesto. El parche debería estar disponible la próxima semana..
“Los problemas fueron fáciles de encontrar y tuvimos una alta tasa de éxito al verificar las aplicaciones para detectar esta vulnerabilidad.. Por lo tanto, esperamos que se descubran más vulnerabilidades de este tipo al examinar otras aplicaciones o marcos de interfaz de usuario,”Concluyó el informe.
Otra vulnerabilidad peligrosa en Telegram se solucionó en enero
En febrero de, El investigador de seguridad Dhiraj Mishra descubrió que Telegram contenía una vulnerabilidad de privacidad en su aplicación macOS.
El error residía en la versión 7.3 de Telegram para macOS. Afortunadamente, el problema se corrigió rápidamente en la versión 7.4, que fue lanzado a finales de enero. El investigador descubrió que si un usuario abre Telegram en macOs para enviar un mensaje de audio o video grabado en un chat normal, la aplicación filtraría la ruta de la zona de pruebas donde se almacena el mensaje grabado en un archivo ".mp4". Si el usuario realiza la misma acción en un chat normal, el mensaje se almacenaría en la misma ruta.