Telegramの複数のワンクリック脆弱性, VLC, LibreOffice (CVE-2021-30245)

アプリケーションの安全性, そしてそれらを使用している間あなたはどれくらい安全ですか?

人気のあるアプリケーションでの複数のワンクリックバグ

セキュリティ研究者は、複数の人気のあるソフトウェアアプリにワンクリックの脆弱性が豊富にあることを報告しました, 脅威アクターが任意のコード実行攻撃を実行できるようにする. ポジティブセキュリティ研究者によって発見されました, 欠陥は広く採用されている多くのアプリに影響を及ぼします, テレグラムを含む, VLC, LibreOffice, OpenOffice, Nextcloud, Wireshark, つぶやく, と ビットコイン とドージコインウォレット.

「オペレーティングシステムによって開かれるユーザー指定のURLを渡すデスクトップアプリケーションは、ユーザーの操作によるコード実行に対して脆弱であることがよくあります。,」と研究者たちは指摘した. コードの実行は、インターネットにアクセス可能なファイル共有上の悪意のある実行可能ファイルにリンクしているURLが開かれたときに発生します, または、開いたアプリのURIに別の脆弱性がある場合 (ユニフォームリソース識別子) ハンドラーが悪用されます.

「このパターンに従った脆弱性は、他のソフトウェアですでに発見されています。, 今後さらに明らかになることが期待されます,」 レポートが追加されました.

それはどういう意味ですか?
素人の言葉で, 脆弱性は、任意のコードが実行される可能性のある不十分なURL入力検証によって引き起こされます, オペレーティングシステムの助けを借りて開いたとき.

不運にも, URLの検証に失敗したアプリケーションの数は非常に印象的です, 攻撃者がリモートでコード実行攻撃を実行する可能性を生み出す.
アプリとその根本的な脆弱性のリストは次のとおりです. 幸運, それらのほとんどはすでにパッチを持っています:

• Telegramの脆弱性, 1月に報告されました 11, すぐにパッチを当てました;
• NextcloudのCVE-2021-22879, バージョンにパッチが適用されています 3.1.3 デスクトップクライアントの;
• VLCプレーヤーの脆弱性, バージョンでパッチを適用する 3.0.13, 来週リリース予定;
• Dogecoinのバグがバージョンで修正されました 1.14.3;
• ビットコインのアルコール度数のバグ, バージョンで対処 0.22.15;
• ビットコインキャッシュのバグ, バージョンで対処 23.0.0;
• OpenOfficeのCVE-2021-30245 (すぐに利用できるように修正);
• LibreOfficeのCVE-2021-25631, Windowsで修正, Xubuntuではありません;
• MumbleのCVE-2021-27229, バージョンにパッチが適用されています 1.3.4;
• そしてWinSCPのCVE-2021-3331, バージョンにパッチが適用されています 5.17.10.

VLCに関しては, パッチが適用されたバージョン 3.0.13 4月9日より前にリリースする必要がありました; でも, そのリリースは延期されました. パッチは来週利用可能になるはずです.

「問題は簡単に見つけられ、この脆弱性についてアプリケーションをチェックする際の成功率は高かった。. したがって, 他のアプリケーションやUIフレームワークを見ると、このタイプの脆弱性がさらに発見されることが予想されます。,」レポートは結論を出しました.

Telegramのもう1つの危険な脆弱性が1月に修正されました

2月中, セキュリティ研究者のDhirajMishraは、 TelegramのmacOSアプリにプライバシーの脆弱性が含まれていました.

バグはバージョンにありました 7.3 macOS用の電報の. 幸運, この問題はバージョンですぐにパッチが適用されました 7.4, 1月末にリリースされました. 研究者は、ユーザーがmacOsでTelegramを開いて、録音されたオーディオまたはビデオメッセージを通常のチャットで送信する場合に発見しました, アプリは、録音されたメッセージが「.mp4」ファイルに保存されているサンドボックスパスをリークします. ユーザーが通常のチャットで同じアクションを実行した場合, メッセージは同じパスに保存されます.