В популярных настольных приложениях обнаружен способ взлома в один клик

Публикуем список опасного программного обеспечения: проверьте, используете ли вы его

В различных популярных программных приложениях было обнаружено несколько уязвимостей, вызываемых одним щелчком, что позволяет злоумышленнику потенциально выполнить произвольный код в целевых системах.
В популярных настольных приложениях обнаружен способ взлома в один клик

В популярных настольных приложениях обнаружен способ взлома в один клик. Фото: Pixabay

Проблемы были обнаружены исследователями Positive Security Фабианом Бройнлейном и Лукасом Эйлером и затрагивают такие приложения, как Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, кошельки Bitcoin / Dogecoin, Wireshark и Mumble, сообщает The Hacker News.

«Настольные приложения, которые передают задаваемые пользователем URL-адреса для открытия операционной системой, часто уязвимы для выполнения кода при взаимодействии с пользователем», — заявили исследователи. — «Выполнение кода может быть достигнуто либо при открытии URL-адреса, указывающего на вредоносный исполняемый файл (.desktop, .jar, .exe,…), размещённого в доступном через Интернет файловом ресурсе (nfs, webdav, smb,…), либо при появлении дополнительной уязвимости в обработчике URI открытого приложения».

Другими словами, недостатки проистекают из недостаточной проверки введённого URL-адреса, который при открытии с помощью базовой операционной системы приводит к непреднамеренному запуску вредоносного файла.

Анализ Positive Security показал, что многие приложения не смогли проверить URL-адреса, что позволило злоумышленнику создать ссылку, указывающую на фрагмент кода атаки, что привело к удалённому выполнению кода.

После ответственного раскрытия информации большинство приложений выпустили исправления для исправления недостатков:

  • Nextcloud - исправлено в версии 3.1.3 Desktop Client, выпущенной 24 февраля (CVE-2021-22879).
  • Telegram - проблема была зарегистрирована 11 января и впоследствии исправлена ​​посредством изменения на стороне сервера 10 февраля.
  • VLC Player - о проблеме было сообщено 18 января, исправленная версия 3.0.13 будет выпущена на следующей неделе.
  • OpenOffice - будет исправлено в ближайшее время (CVE-2021-30245)
  • LibreOffice - адресовано в Windows, но уязвимо в Xubuntu (CVE-2021-25631)
  • Mumble - исправлено в версии 1.3.4 от 10 февраля (CVE-2021-27229).
  • Dogecoin - исправлено в версии 1.14.3, выпущенной 28 февраля.
  • Bitcoin ABC - исправлено в версии 0.22.15, выпущенной 9 марта.
  • Bitcoin Cash - исправлено в версии 23.0.0 (в настоящее время в процессе выпуска)
  • Wireshark - исправлено в версии 3.4.4 от 10 марта (CVE-2021-22191).
  • WinSCP - исправлено в версии 5.17.10 от 26 января (CVE-2021-3331).

«Эта проблема охватывает несколько уровней в стеке приложений целевой системы, что позволяет разработчикам легко переложить вину и избежать бремени реализации мер по смягчению последствий», — заявили исследователи.

Больше интересного

Актуальное

Ownnit позволяет продавать свои навыки и знания по видео
В «поломке» Документов и Слайдов Google виноват AdBlock
Срочно. Сообщается о серьезных ошибках в стеке EtherNet / IP для промышленных систем
Ещё…