Vulnerabilità nelle app software più diffuse
Buongiorno cari lettori, oggi parleremo delle vulnerabilità che si trovano nelle app.
I ricercatori di sicurezza IT di Positive Security Fabian Bräunlein e Lukas Euler hanno identificato più vulnerabilità con un clic in varie applicazioni software popolari che possono consentire a un utente malintenzionato di eseguire codice arbitrario su dispositivi mirati.
I ricercatori hanno notato nella loro ricerca che le app desktop, in particolare quelle che passano gli URL forniti dagli utenti per essere aperti dal sistema operativo, risultano vulnerabili all'esecuzione di codice con l'interazione dell'utente.
L'esecuzione del codice si ottiene quando l'URL reindirizza a un eseguibile dannoso, come .desktop, .exe o .jar che è "ospitato su una condivisione di file accessibile da Internet (NFS, WebDAV, SMB, ...)" e viene aperto o un'altra vulnerabilità nel gestore di URL dell'app aperta viene sfruttata, hanno spiegato i ricercatori.
Quali applicazioni sono vulnerabili?
Le vulnerabilità interessano molte app popolari, tra cui VLC, Telegram, LibreOffice, Nextcloud, Bitcoin / Dogecoin Wallets, OpenOffice, Mumble e Wireshark. La vulnerabilità deriva da una convalida insufficiente dell'input URL.
VEDERE: La principale vulnerabilità espone lo slicing della rete principale 5G agli attacchi DoS
Pertanto, ciò che accade è che quando l'app viene aperta tramite il sistema operativo, ha eseguito automaticamente un file dannoso. Secondo i ricercatori, molte applicazioni non sono riuscite a convalidare gli URL. Questo è il motivo per cui consentono a un utente malintenzionato di avviare un collegamento appositamente progettato che punta a un pezzo di codice di attacco e si traduce in l'esecuzione di codice in modalità remota.
Rilasciato con patch per le app interessate
Rispettando le regole sulla divulgazione responsabile, la maggior parte delle applicazioni interessate sono state aggiornate per risolvere il problema. Questi includono:
1 - Nextcloud - versione 3.1.3 del client desktop corretta il 24 febbraio ( CVE-2021-22879 )
2- Telegram: una modifica lato server è stata risolta entro il 10 febbraio
3- VLC Player - la patch versione 3.0.13 verrà rilasciata la prossima settimana
4- OpenOffice - problema risolto nella versione 4.1.10 (C CVE-2021-30245 )
5- LibreOffice - La versione di Windows è patchata ma Xubuntu è ancora vulnerabile ( CVE-2021-25631 )
6 - Mumble - la versione 1.3.4 è stata aggiornata e rilasciata il 10 febbraio ( CVE-2021-27229 )
7- Dogecoin - problema risolto nella versione 1.14.3 rilasciata il 28 febbraio
8- Bitcoin ABC - problemi risolti nella versione 0.22.15 e rilasciata il 9 marzo
9- Bitcoin Cash - la versione 23.0.0 è stata patchata e verrà rilasciata a breve
10- Wireshark - la versione 3.4.4 è stata patchata e rilasciata il 10 marzo ( CVE-2021-22191 )
11 - WinSCP - emesso risolto nella versione 5.17.10 e rilasciato il 26 gennaio ( CVE-2021-3331 )
Proof of Concept e dettagli tecnici
I ricercatori hanno pubblicato un post dettagliato sul blog insieme a dettagli tecnici e video che dimostrano l'impatto di queste vulnerabilità sulle app software di cui sopra.
