Quanto sono sicure le tue applicazioni, e quanto sei sicuro mentre li usi?
Bug multipli con un clic nelle applicazioni più diffuse
I ricercatori di sicurezza hanno segnalato l'abbondanza di vulnerabilità con un clic in più app software popolari, consentendo agli attori delle minacce di eseguire attacchi di esecuzione di codice arbitrario. Scoperto dai ricercatori di Positive Security, i difetti interessano una serie di app ampiamente adottate, compreso Telegram, VLC, LibreOffice, Ufficio aperto, Nextcloud, Wireshark, Mumble, e Bitcoin e portafogli Dogecoin.
“Le applicazioni desktop che passano gli URL forniti dall'utente per essere aperti dal sistema operativo sono spesso vulnerabili all'esecuzione di codice con l'interazione dell'utente,"Hanno sottolineato i ricercatori. L'esecuzione del codice si verifica quando viene aperto un URL che collega a un eseguibile dannoso su una condivisione di file accessibile da Internet, o quando un'altra vulnerabilità nell'URI dell'app aperta (Identificatore di risorsa uniforme) gestore è sfruttato.
“Le vulnerabilità che seguono questo schema sono già state trovate in altri software, con più atteso da rivelare in futuro," il rapporto ha aggiunto.
Cosa significa tutto ciò?
In parole povere, le vulnerabilità sono innescate da una convalida di input URL insufficiente che può causare l'esecuzione di codice arbitrario, quando viene aperto con l'aiuto del sistema operativo.
Sfortunatamente, il numero di applicazioni che non riescono a convalidare gli URL è piuttosto impressionante, creando la possibilità per gli aggressori di eseguire attacchi di esecuzione di codice in modalità remota.
Ecco un elenco delle app e delle loro vulnerabilità sottostanti. Per fortuna, la maggior parte di loro ha già le patch:
- Vulnerabilità in Telegram, che è stato segnalato a gennaio 11, e rattoppato subito dopo;
- CVE-2021-22879 in Nextcloud, patchato in versione 3.1.3 del client desktop;
- Vulnerabilità in VLC Player, essere patchato nella versione 3.0.13, in uscita la prossima settimana;
- Bug di Dogecoin corretto nella versione 1.14.3;
- Bug ABV di Bitcoin, affrontato nella versione 0.22.15;
- Bug di Bitcoin Cash, affrontato nella versione 23.0.0;
- CVE-2021-30245 in OpenOffice (correzione per essere presto disponibile);
- CVE-2021-25631 in LibreOffice, risolto in Windows, non in Xubuntu;
- CVE-2021-27229 in Mumble, patchato in versione 1.3.4;
- E CVE-2021-3331 in WinSCP, patchato in versione 5.17.10.
Per quanto riguarda VLC, la versione patchata 3.0.13 doveva essere rilasciato prima del 9 aprile; tuttavia, il suo rilascio è stato posticipato. La patch dovrebbe essere disponibile la prossima settimana.
"I problemi erano facili da trovare e abbiamo avuto un alto tasso di successo durante il controllo delle applicazioni per questa vulnerabilità. Pertanto, ci aspettiamo che vengano scoperte più vulnerabilità di questo tipo quando si esaminano altre applicazioni o framework di interfaccia utente,"Conclude il rapporto.
Un'altra pericolosa vulnerabilità in Telegram è stata risolta a gennaio
Nel mese di febbraio, Lo ha scoperto il ricercatore di sicurezza Dhiraj Mishra Telegram conteneva una vulnerabilità della privacy nella sua app macOS.
Il bug risiedeva nella versione 7.3 di Telegram per macOS. Per fortuna, il problema è stato rapidamente risolto nella versione 7.4, rilasciato alla fine di gennaio. Il ricercatore ha scoperto che se un utente apre Telegram su macOs per inviare un messaggio audio o video registrato in una normale chat, l'app perderebbe il percorso sandbox in cui il messaggio registrato è archiviato in un file ".mp4". Se l'utente esegue la stessa azione in una normale chat, il messaggio verrebbe memorizzato sullo stesso percorso.