Quão seguros são seus aplicativos, e quão seguro você está ao usá-los?
Vários bugs de um clique em aplicativos populares
Pesquisadores de segurança relataram a abundância de vulnerabilidades de um clique em vários aplicativos de software populares, permitindo que os agentes da ameaça realizem ataques de execução de código arbitrário. Descoberto por pesquisadores da Positive Security, as falhas afetam uma série de aplicativos amplamente adotados, incluindo telegrama, VLC, LibreOffice, Escritório aberto, Nextcloud, Wireshark, Resmungar, e Bitcoin e carteiras Dogecoin.
“Os aplicativos de desktop que passam URLs fornecidos pelo usuário para serem abertos pelo sistema operacional são frequentemente vulneráveis à execução de código com a interação do usuário,”Apontaram os pesquisadores. A execução do código ocorre quando um URL vinculado a um executável malicioso em um compartilhamento de arquivo acessível pela Internet é aberto, ou quando outra vulnerabilidade no URI do aplicativo aberto (Identificador de Recurso Uniforme) manipulador é explorado.
“Vulnerabilidades seguindo este padrão já foram encontradas em outro software, com mais expectativa de ser revelada daqui para frente,” o relatório adicionado.
O que isso tudo significa?
Em termos leigos, as vulnerabilidades são acionadas por validação de entrada de URL insuficiente que pode causar a execução arbitrária de código, quando aberto com a ajuda do sistema operacional.
Infelizmente, o número de aplicativos que não validam os URLs é bastante impressionante, criando a possibilidade de invasores realizarem ataques de execução remota de código.
Aqui está uma lista dos aplicativos e suas vulnerabilidades subjacentes. Felizmente, a maioria deles já tem patches:
- Vulnerabilidade no telegrama, que foi relatado em janeiro 11, e remendado rapidamente após;
- CVE-2021-22879 em Nextcloud, patcheado na versão 3.1.3 de Desktop Client;
- Vulnerabilidade no VLC Player, para ser corrigido na versão 3.0.13, para ser lançado na próxima semana;
- Bug Dogecoin corrigido na versão 1.14.3;
- Bug Bitcoin ABV, endereçado na versão 0.22.15;
- Bug do Bitcoin Cash, endereçado na versão 23.0.0;
- CVE-2021-30245 no OpenOffice (conserto estará disponível em breve);
- CVE-2021-25631 no LibreOffice, corrigido no Windows, não no Xubuntu;
- CVE-2021-27229 em Mumble, patcheado na versão 1.3.4;
- E CVE-2021-3331 em WinSCP, patcheado na versão 5.17.10.
Quanto ao VLC, a versão corrigida 3.0.13 teve que ser lançado antes de 9 de abril; Contudo, seu lançamento foi adiado. O patch deve estar disponível na próxima semana.
“Os problemas foram fáceis de encontrar e tivemos uma alta taxa de sucesso ao verificar os aplicativos para esta vulnerabilidade. Portanto, esperamos que mais vulnerabilidades deste tipo sejam descobertas ao olhar para outros aplicativos ou estruturas de IU,”O relatório concluiu.
Outra vulnerabilidade perigosa no Telegram foi corrigida em janeiro
Em fevereiro, o pesquisador de segurança Dhiraj Mishra descobriu que O Telegram continha uma vulnerabilidade de privacidade em seu aplicativo macOS.
O bug residia na versão 7.3 do Telegram para macOS. Felizmente, o problema foi corrigido rapidamente na versão 7.4, que foi lançado no final de janeiro. O pesquisador descobriu que se um usuário abrir o Telegram no macOs para enviar uma mensagem de áudio ou vídeo gravada em um chat normal, o aplicativo vazaria o caminho da sandbox onde a mensagem gravada é armazenada em um arquivo “.mp4”. Se o usuário realizar a mesma ação em um chat normal, a mensagem seria armazenada no mesmo caminho.