В различных популярных программах обнаружено несколько 1-click-уязвимостей, которые позволяют потенциальному злоумышленнику выполнять произвольный код на целевых системах.
Проблемы были обнаружены исследователями Фабианом Бройнляйном и Лукасом Эйлером из команды Positive Security. Уязвимости затрагивают приложения Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin, Wireshark, и Mumble.
«Desktop-приложения, которые передают предоставленные пользователем URL на открытие операционной системы, часто уязвимы для выполнения произвольного кода при взаимодействии с пользователем», - сообщили исследователи. «Выполнение кода может быть достигнуто либо при открытии URL, указывающего на вредоносный исполняемый файл (.desktop, .jar, .exe, ...), размещенный на доступном через интернет файловом ресурсе (nfs, webdav, smb, ...), либо при использовании дополнительной уязвимости в URI-обработчике открываемого приложения».
Иначе говоря, баги связаны с недостаточной валидацией вводимого URL, которая при открытии с помощью базовой операционной системы приводит к непреднамеренному выполнению вредоносного файла.
Проведенный Positive Security анализ показал, что многие приложения не смогли проверить URL, тем самым позволив атакующему создать специальную ссылку, указывающую на кусок потенциально вредоносного кода, что привело к удаленному выполнению этого кода.
.jpg)
После сообщения об уязвимостях разработчикам затронутых приложений, большинство выпустили соответствующие патчи:
- Nextcloud - исправлено в версии 3.1.3 Desktop Client, выпущенной 24 февраля (CVE-2021-22879).
- Telegram - об уязвимости сообщено 11 января, исправлены на сервере системы 10 февраля (или чуть раньше).
- VLC Player - об уязвимости сообщено 18 января, исправлено в версии 3.0.13 которая выйдет на следующей неделе.
- OpenOffice - Исправлено в грядущем релизе 4.1.10 (CVE-2021-30245)
- LibreOffice - исправлено в Windows-версии, но уязвимость сохраняется в версии Xubuntu (CVE-2021-25631)
- Mumble - Исправлено в версии 1.3.4, выпущенной 10 февраля (CVE-2021-27229).
- Dogecoin - Исправлено в версии 1.14.3, выпущенной 28 февраля.
- Bitcoin ABC - Исправлено в версии 0.22.15, выпущенной 9 марта.
- Bitcoin Cash - Исправлено в версии 23.0.0 (в настоящее время находится в процессе выпуска).
- Wireshark - Исправлено в версии 3.4.4, выпущенной 10 марта (CVE-2021-22191).
- WinSCP - Исправлено в версии 5.17.10, выпущенной 26 января (CVE-2021-3331).
«Эти уязвимости охватывают несколько слоев в стеке приложений целевой системы, что позволяет при желании различным разработчикам и администраторам перекладывать вину друг на друга и не брать на себя бремя реализации мер по снижению воздействия», - заявили исследователи.
«Однако, в связи с разнообразием клиентских систем и их конфигураций, очень важно, чтобы каждая участвующая сторона взяла на себя определенную долю ответственности и добавила свой вклад в виде мер по смягчению последствий, таких как проверка URL-адресов и предотвращение автоматического монтирования удалённых общих ресурсов».
Перевод сделан со статьи: https://thehackernews.com
