Casa > Cyber ​​Notizie > Vulnerabilità multiple a 1 clic in Telegram, VLC, LibreOffice (CVE-2021-30245)
CYBER NEWS

Vulnerabilità multiple a 1 clic in Telegram, VLC, LibreOffice (CVE-2021-30245)

da   |  Last Update:  |  0 Commenti  

Vulnerabilità multiple a 1 clic in Telegram, VLC, LibreOffice (CVE-2021-30245)
Quanto sono sicure le tue applicazioni, e quanto sei sicuro mentre li usi?

Bug multipli con un clic nelle applicazioni più diffuse

I ricercatori di sicurezza hanno segnalato l'abbondanza di vulnerabilità con un clic in più app software popolari, consentendo agli attori delle minacce di eseguire attacchi di esecuzione di codice arbitrario. Scoperto dai ricercatori di Positive Security, i difetti interessano una serie di app ampiamente adottate, compreso Telegram, VLC, LibreOffice, Ufficio aperto, Nextcloud, Wireshark, Mumble, e Bitcoin e portafogli Dogecoin.

“Le applicazioni desktop che passano gli URL forniti dall'utente per essere aperti dal sistema operativo sono spesso vulnerabili all'esecuzione di codice con l'interazione dell'utente,"Hanno sottolineato i ricercatori. L'esecuzione del codice si verifica quando viene aperto un URL che collega a un eseguibile dannoso su una condivisione di file accessibile da Internet, o quando un'altra vulnerabilità nell'URI dell'app aperta (Identificatore di risorsa uniforme) gestore è sfruttato.

“Le vulnerabilità che seguono questo schema sono già state trovate in altri software, con più atteso da rivelare in futuro," il rapporto ha aggiunto.




Cosa significa tutto ciò?
In parole povere, le vulnerabilità sono innescate da una convalida di input URL insufficiente che può causare l'esecuzione di codice arbitrario, quando viene aperto con l'aiuto del sistema operativo.

Sfortunatamente, il numero di applicazioni che non riescono a convalidare gli URL è piuttosto impressionante, creando la possibilità per gli aggressori di eseguire attacchi di esecuzione di codice in modalità remota.
Ecco un elenco delle app e delle loro vulnerabilità sottostanti. Per fortuna, la maggior parte di loro ha già le patch:

  • Vulnerabilità in Telegram, che è stato segnalato a gennaio 11, e rattoppato subito dopo;
  • CVE-2021-22879 in Nextcloud, patchato in versione 3.1.3 del client desktop;
  • Vulnerabilità in VLC Player, essere patchato nella versione 3.0.13, in uscita la prossima settimana;
  • Bug di Dogecoin corretto nella versione 1.14.3;
  • Bug ABV di Bitcoin, affrontato nella versione 0.22.15;
  • Bug di Bitcoin Cash, affrontato nella versione 23.0.0;
  • CVE-2021-30245 in OpenOffice (correzione per essere presto disponibile);
  • CVE-2021-25631 in LibreOffice, risolto in Windows, non in Xubuntu;
  • CVE-2021-27229 in Mumble, patchato in versione 1.3.4;
  • E CVE-2021-3331 in WinSCP, patchato in versione 5.17.10.

Per quanto riguarda VLC, la versione patchata 3.0.13 doveva essere rilasciato prima del 9 aprile; tuttavia, il suo rilascio è stato posticipato. La patch dovrebbe essere disponibile la prossima settimana.

"I problemi erano facili da trovare e abbiamo avuto un alto tasso di successo durante il controllo delle applicazioni per questa vulnerabilità. Pertanto, ci aspettiamo che vengano scoperte più vulnerabilità di questo tipo quando si esaminano altre applicazioni o framework di interfaccia utente,"Conclude il rapporto.

Un'altra pericolosa vulnerabilità in Telegram è stata risolta a gennaio

Nel mese di febbraio, Lo ha scoperto il ricercatore di sicurezza Dhiraj Mishra Telegram conteneva una vulnerabilità della privacy nella sua app macOS.

Il bug risiedeva nella versione 7.3 di Telegram per macOS. Per fortuna, il problema è stato rapidamente risolto nella versione 7.4, rilasciato alla fine di gennaio. Il ricercatore ha scoperto che se un utente apre Telegram su macOs per inviare un messaggio audio o video registrato in una normale chat, l'app perderebbe il percorso sandbox in cui il messaggio registrato è archiviato in un file ".mp4". Se l'utente esegue la stessa azione in una normale chat, il messaggio verrebbe memorizzato sullo stesso percorso.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Telegramma per malintenzionati Attività: Come gli hacker sfruttano l'app Ci sono stati diversi casi di hacker che hanno sfruttato Facebook Messenger...
  2. Passaggi per la rimozione dei virus di Vlc Plus Player [Guida gratuita alla correzione] Cos'è Vlc Plus Player Vlc Plus Player è il...
  3. Adobe patch 112 Alcune vulnerabilità in Ultime Patch Package (CVE-2018-5007) Adobe ha rilasciato l'ultimo pacchetto di patch che risolve un problema....
  4. VLC Addon è Sospetto. Rimuoverla Research indicates that VLC Addon is a suspicious browser add-on...
  5. La vulnerabilità di autodistruzione di Telegram per macOS mette a nudo la tua privacy Un ricercatore di sicurezza ha recentemente scoperto e segnalato al pubblico....
  6. Le vulnerabilità più sfruttate in 2021 Includere CVE-2021-44228, CVE-2021-26084 Quali erano le vulnerabilità di sicurezza più sfruttate di routine 2021?...
  7. Telegram Virus rimozione Cos'è Telegram Virus Telegram è uno dei virus di alto livello...
  8. .File di virus TELEGRAM (Nefilim ransomware) – Rimozione Guida .L'estensione del file TELEGRAM è posizionata su tutti i tuoi file?...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo