Hoe veilig zijn uw applicaties, en hoe veilig bent u tijdens het gebruik ervan?
Meerdere one-click bugs in populaire applicaties
Beveiligingsonderzoekers rapporteerden de overvloed aan kwetsbaarheden met één klik in meerdere populaire software-apps, waardoor bedreigingsactoren aanvallen met willekeurige code kunnen uitvoeren. Ontdekt door onderzoekers van Positive Security, de gebreken zijn van invloed op een aantal veelgebruikte apps, inclusief Telegram, VLC, LibreOffice, Open kantoor, Nextcloud, Wireshark, Mompelen, en Bitcoin en Dogecoin-portefeuilles.
“Desktoptoepassingen die door de gebruiker verstrekte URL's doorgeven om door het besturingssysteem te worden geopend, zijn vaak kwetsbaar voor code-uitvoering met gebruikersinteractie,”, Merkten de onderzoekers op. Code-uitvoering vindt plaats wanneer een URL die linkt naar een kwaadaardig uitvoerbaar bestand op een via internet toegankelijke bestandsshare wordt geopend, of wanneer een andere kwetsbaarheid in de URI van de geopende app (Uniforme resource-identificatie) handler wordt uitgebuit.
“Kwetsbaarheden die dit patroon volgen, zijn al gevonden in andere software, en er wordt verwacht dat er in de toekomst meer zal worden onthuld," het rapport toegevoegd.
Wat betekent dat allemaal??
In lekentaal, de kwetsbaarheden worden veroorzaakt door onvoldoende validatie van de URL-invoer die het uitvoeren van willekeurige code kan veroorzaken, wanneer geopend met behulp van het besturingssysteem.
Helaas, het aantal applicaties dat de URL's niet valideert, is behoorlijk indrukwekkend, het creëren van een mogelijkheid voor aanvallers om aanvallen uit te voeren op afstand met code.
Hier is een lijst met de apps en hun onderliggende kwetsbaarheden. Gelukkig, de meeste hebben al patches:
- Kwetsbaarheid in Telegram, die werd gerapporteerd in januari 11, en snel daarna gepatcht;
- CVE-2021-22879 in Nextcloud, gepatcht in versie 3.1.3 van Desktop Client;
- Kwetsbaarheid in VLC Player, om in versie te worden gepatcht 3.0.13, wordt volgende week vrijgelaten;
- Dogecoin-bug opgelost in versie 1.14.3;
- Bitcoin ABV-bug, geadresseerd in versie 0.22.15;
- Bitcoin Cash-bug, geadresseerd in versie 23.0.0;
- CVE-2021-30245 in OpenOffice (fix binnenkort beschikbaar);
- CVE-2021-25631 in LibreOffice, opgelost in Windows, niet in Xubuntu;
- CVE-2021-27229 in Mumble, gepatcht in versie 1.3.4;
- En CVE-2021-3331 in WinSCP, gepatcht in versie 5.17.10.
Wat betreft VLC, de gepatchte versie 3.0.13 moest vóór 9 april worden vrijgegeven; echter, de release is uitgesteld. De pleister zou volgende week beschikbaar moeten zijn.
“De problemen waren gemakkelijk te vinden en we hadden een hoog slagingspercentage bij het controleren van applicaties op deze kwetsbaarheid. Daarom, we verwachten dat er meer van dit type kwetsbaarheden worden ontdekt wanneer we naar andere applicaties of UI-frameworks kijken,”Concludeerde het rapport.
Een andere gevaarlijke kwetsbaarheid in Telegram werd in januari verholpen
In februari, dat ontdekte beveiligingsonderzoeker Dhiraj Mishra Telegram bevatte een privacyprobleem in zijn macOS-app.
De bug zat in version 7.3 van Telegram voor macOS. Gelukkig, het probleem was snel hersteld in versie 7.4, die eind januari werd uitgebracht. De onderzoeker ontdekte dat als een gebruiker Telegram opent op macOS om een opgenomen audio- of videoboodschap in een normale chat te verzenden, de app zou het sandbox-pad lekken waar het opgenomen bericht is opgeslagen in een ".mp4" -bestand. Als de gebruiker dezelfde actie uitvoert in een normale chat, het bericht zou op hetzelfde pad worden opgeslagen.