1-Kliknite na Hack Found in Popular Desktop Apps — Skontrolujte, či ich používate

V rôznych populárnych softvérových aplikáciách bolo objavených viacero zraniteľností na jedno kliknutie, čo útočníkovi umožňuje potenciálne spustiť ľubovoľný kód na cieľových systémoch.

Problémy objavili výskumníci Positive Security Fabian Bräunlein a Lukas Euler a ovplyvňujú aplikácie ako Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark a Mumble.

„Aplikácie pre stolné počítače, ktoré prechádzajú cez adresy URL dodané používateľom, aby ich otvoril operačný systém, sú často náchylné na spustenie kódu pri interakcii používateľa,“ uviedli vedci. „Spustenie kódu je možné dosiahnuť buď otvorením adresy URL smerujúcej na škodlivý spustiteľný súbor (.desktop, .jar, .exe, …) hosteným na zdieľanom súbore dostupnom na internete (nfs, webdav, smb, …), alebo ďalšou chybou zabezpečenia v otvorenej aplikácii sa využíva obslužný program URI.”

Povedané inak; chyby pramenia z nedostatočného overenia zadávania adresy URL, ktoré pri otvorení pomocou základného operačného systému vedie k neúmyselnému spusteniu škodlivého súboru.

Analýza spoločnosti Positive Security zistila, že mnohým aplikáciám sa nepodarilo overiť adresy URL, čo umožnilo protivníkovi vytvoriť špeciálne vytvorený odkaz smerujúci na časť útočného kódu, čo malo za následok spustenie kódu na diaľku.

Po zodpovednom zverejnení väčšina aplikácií vydala opravy na nápravu nedostatkov –

  • Nextcloud – Opravené vo verzii 3.1.3 Desktop Client vydaný 24. februára (CVE-2021-22879)
  • Telegram – Problém nahlásený 11. januára a následne opravený prostredníctvom zmeny na strane servera 10. februára (alebo o niečo skôr)
  • VLC Player – problém nahlásený 18. januára s opravenou verziou 3.0.13 pripravený na vydanie budúci týždeň
  • OpenOffice – Opravené v najbližších dňoch 4.1Vydanie .10 (CVE-2021-30245)
  • LibreOffice – adresované v Windows, ale zraniteľné v Xubuntu (CVE-2021-25631)
  • Mumble – Opravené vo verzii 1.3.4 vydané 10. februára (CVE-2021-27229)
  • Dogecoin – Opravené vo verzii 1.14.3 vydaný 28. februára
  • Bitcoin ABC – Opravené vo verzii 0.22.15 vydaný v marci 9
  • Bitcoin Cash – Opravené vo verzii 23.0.0 (momentálne v procese vydania)
  • Wireshark – Opravené vo verzii 3.4.4 vydané 10. marca (CVE-2021-22191)
  • WinSCP – Opravené vo verzii 5.17.10 vydané 26. januára (CVE-2021-3331)

“Tento problém zahŕňa viacero vrstiev v aplikačnom zásobníku cieľového systému, a preto je pre správcov ktorejkoľvek z nich ľahké presunúť vinu a vyhnúť sa tomu, aby na seba vzali bremeno implementácie zmierňujúcich opatrení,” uviedli vedci.

„Vzhľadom na rôznorodosť klientskych systémov a ich konfiguračných stavov je však kľúčové, aby každá zúčastnená strana prevzala určitú mieru zodpovednosti a pridala svoj príspevok vo forme zmierňujúcich opatrení“, ako je overenie adresy URL a zabránenie automatickému zdieľaniu vzdialených zdieľaní. -namontované.