В популярных настольных приложениях обнаружен способ взлома в один клик
Публикуем список опасного программного обеспечения: проверьте, используете ли вы его
В различных популярных программных приложениях было обнаружено несколько уязвимостей, вызываемых одним щелчком, что позволяет злоумышленнику потенциально выполнить произвольный код в целевых системах.В популярных настольных приложениях обнаружен способ взлома в один клик. Фото: Pixabay
Проблемы были обнаружены исследователями Positive Security Фабианом Бройнлейном и Лукасом Эйлером и затрагивают такие приложения, как Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, кошельки Bitcoin / Dogecoin, Wireshark и Mumble, сообщает The Hacker News.
«Настольные приложения, которые передают задаваемые пользователем URL-адреса для открытия операционной системой, часто уязвимы для выполнения кода при взаимодействии с пользователем», — заявили исследователи. — «Выполнение кода может быть достигнуто либо при открытии URL-адреса, указывающего на вредоносный исполняемый файл (.desktop, .jar, .exe,…), размещённого в доступном через Интернет файловом ресурсе (nfs, webdav, smb,…), либо при появлении дополнительной уязвимости в обработчике URI открытого приложения».
Другими словами, недостатки проистекают из недостаточной проверки введённого URL-адреса, который при открытии с помощью базовой операционной системы приводит к непреднамеренному запуску вредоносного файла.
Анализ Positive Security показал, что многие приложения не смогли проверить URL-адреса, что позволило злоумышленнику создать ссылку, указывающую на фрагмент кода атаки, что привело к удалённому выполнению кода.
После ответственного раскрытия информации большинство приложений выпустили исправления для исправления недостатков:
- Nextcloud - исправлено в версии 3.1.3 Desktop Client, выпущенной 24 февраля (CVE-2021-22879).
- Telegram - проблема была зарегистрирована 11 января и впоследствии исправлена посредством изменения на стороне сервера 10 февраля.
- VLC Player - о проблеме было сообщено 18 января, исправленная версия 3.0.13 будет выпущена на следующей неделе.
- OpenOffice - будет исправлено в ближайшее время (CVE-2021-30245)
- LibreOffice - адресовано в Windows, но уязвимо в Xubuntu (CVE-2021-25631)
- Mumble - исправлено в версии 1.3.4 от 10 февраля (CVE-2021-27229).
- Dogecoin - исправлено в версии 1.14.3, выпущенной 28 февраля.
- Bitcoin ABC - исправлено в версии 0.22.15, выпущенной 9 марта.
- Bitcoin Cash - исправлено в версии 23.0.0 (в настоящее время в процессе выпуска)
- Wireshark - исправлено в версии 3.4.4 от 10 марта (CVE-2021-22191).
- WinSCP - исправлено в версии 5.17.10 от 26 января (CVE-2021-3331).
«Эта проблема охватывает несколько уровней в стеке приложений целевой системы, что позволяет разработчикам легко переложить вину и избежать бремени реализации мер по смягчению последствий», — заявили исследователи.
Комментариев пока не было