Accueil > Nouvelles Cyber > Plusieurs vulnérabilités en un clic dans Telegram, VLC, LibreOffice (CVE-2021-30245)
CYBER NOUVELLES

Plusieurs vulnérabilités en un clic dans Telegram, VLC, LibreOffice (CVE-2021-30245)

Plusieurs vulnérabilités en un clic dans Telegram, VLC, LibreOffice (CVE-2021-30245)
Quelle est la sécurité de vos applications, et dans quelle mesure êtes-vous en sécurité lorsque vous les utilisez?

Plusieurs bogues en un clic dans les applications populaires

Les chercheurs en sécurité ont signalé l'abondance de vulnérabilités en un clic dans plusieurs applications logicielles populaires, permettre aux acteurs de la menace d'effectuer des attaques d'exécution de code arbitraires. Découvert par des chercheurs en sécurité positive, les failles affectent un certain nombre d'applications largement adoptées, y compris Telegram, VLC, LibreOffice, Bureau ouvert, Nextcloud, Wireshark, Marmonner, et Bitcoin et portefeuilles Dogecoin.

«Les applications de bureau qui transmettent les URL fournies par l'utilisateur à ouvrir par le système d'exploitation sont souvent vulnérables à l'exécution de code avec interaction de l'utilisateur,»Ont souligné les chercheurs. L'exécution de code se produit soit lorsqu'une URL menant à un exécutable malveillant sur un partage de fichiers accessible sur Internet est ouverte, ou lorsqu'une autre vulnérabilité dans l'URI de l'application ouverte (Identificateur de ressource uniforme) le gestionnaire est exploité.

«Des vulnérabilités suivant ce modèle ont déjà été détectées dans d’autres logiciels, et d'autres devraient être révélés à l'avenir," le rapport ajouté.




Qu'est-ce que tout cela signifie?
En termes simples, les vulnérabilités sont déclenchées par une validation d'entrée d'URL insuffisante qui peut provoquer l'exécution de code arbitraire, une fois ouvert à l'aide du système d'exploitation.

Malheureusement, le nombre d'applications échouant à valider les URL est assez impressionnant, créer une possibilité pour les attaquants de mener des attaques d'exécution de code à distance.
Voici une liste des applications et de leurs vulnérabilités sous-jacentes. Heureusement, la plupart d'entre eux ont déjà des correctifs:

  • Vulnérabilité dans Telegram, qui a été rapporté en janvier 11, et patché rapidement après;
  • CVE-2021-22879 dans Nextcloud, patché dans la version 3.1.3 du client de bureau;
  • Vulnérabilité dans VLC Player, à patcher dans la version 3.0.13, à paraître la semaine prochaine;
  • Correction d'un bug Dogecoin dans la version 1.14.3;
  • Bogue Bitcoin ABV, adressé dans la version 0.22.15;
  • Bogue de Bitcoin Cash, adressé dans la version 23.0.0;
  • CVE-2021-30245 dans OpenOffice (correctif bientôt disponible);
  • CVE-2021-25631 dans LibreOffice, corrigé dans Windows, pas dans Xubuntu;
  • CVE-2021-27229 dans Mumble, patché dans la version 1.3.4;
  • Et CVE-2021-3331 dans WinSCP, patché dans la version 5.17.10.

Quant à VLC, la version corrigée 3.0.13 devait être libéré avant le 9 avril; cependant, sa sortie a été reportée. Le patch devrait être disponible la semaine prochaine.

«Les problèmes étaient faciles à trouver et nous avons eu un taux de réussite élevé lors de la vérification des applications pour cette vulnérabilité.. Donc, nous nous attendons à ce que davantage de vulnérabilités de ce type soient découvertes lors de l'examen d'autres applications ou cadres d'interface utilisateur,»Le rapport conclut.

Une autre vulnérabilité dangereuse dans Telegram a été corrigée en janvier

En Février, le chercheur en sécurité Dhiraj Mishra a découvert que Telegram contenait une vulnérabilité de confidentialité dans son application macOS.

Le bogue résidait dans la version 7.3 de Telegram pour macOS. Heureusement, le problème a été rapidement corrigé dans la version 7.4, qui a été publié fin janvier. Le chercheur a découvert que si un utilisateur ouvre Telegram sur macOs pour envoyer un message audio ou vidéo enregistré dans une discussion normale, l'application ferait fuir le chemin du bac à sable où le message enregistré est stocké dans un fichier «.mp4». Si l'utilisateur effectue la même action dans une discussion normale, le message serait stocké sur le même chemin.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord