В популярных настольных приложениях обнаружены 1-Click уязвимости

16 апреля 2021 года

В различных популярных программных приложениях был обнаружен ряд 1-Click уязвимостей, которые могут быть проэксплуатированы с помощью одного клика. Их эксплуатация позволяет злоумышленнику потенциально выполнить произвольный код на целевых системах.

Проблемы были обнаружены исследователями безопасности из компании Positive Security Фабианом Бройнлейном (Fabian Bräunlein) и Лукасом Эйлером (Lukas Euler) и затрагивают такие приложения, как Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, кошельки Bitcoin/Dogecoin, Wireshark и Mumble.

«Настольные приложения, передающие задаваемые пользователем URL-адреса для открытия операционной системой, часто уязвимы к выполнению кода при взаимодействии с пользователем. Выполнение кода может быть достигнуто либо при открытии URL-адреса, указывающего на вредоносный исполняемый файл (.desktop,.jar,.exe и пр.) на доступном через интернет файловом ресурсе (nfs, webdav, smb и пр.), либо при появлении дополнительной уязвимости в URI-обработчике открытого приложения», — пояснили эксперты.

Уязвимости связаны с недостаточной проверкой введенного URL-адреса, который при открытии с помощью базовой операционной системы приводит к непреднамеренному запуску вредоносного файла.

Эксперты сообщили о своих находках разработчикам, и большинство приложений получили исправления:

Nextcloud — проблема ( CVE-2021-22879 ) исправлена в версии 3.1.3;

Telegram — проблема была исправлена;

VLC Player — версия 3.0.13, исправляющая уязвимость, будет выпущена на следующей неделе;

OpenOffice — проблема будет исправлена в ближайшее время (CVE-2021-30245);

LibreOffice — исправлено в Windows, но ОС Xubuntu все еще уязвима ( CVE-2021-25631 );

Mumble — исправлена в версии 1.3.4 ( CVE-2021-27229 );

Dogecoin — исправлена в версии 1.14.3;

Bitcoin ABC — исправлена в версии 0.22.15;

Bitcoin Cash — исправлена в версии 23.0.0;

Wireshark — исправлена в версии 3.4.4 (CVE-2021-22191);

WinSCP — исправлена в версии 5.17.10 ( CVE-2021-3331 ).

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.