В популярных настольных приложениях обнаружены 1-Click уязвимости

В популярных настольных приложениях обнаружены 1-Click уязвимости

Эксплуатация проблем позволяет злоумышленнику потенциально выполнить произвольный код на целевых системах.

В различных популярных программных приложениях был обнаружен ряд 1-Click уязвимостей, которые могут быть проэксплуатированы с помощью одного клика. Их эксплуатация позволяет злоумышленнику потенциально выполнить произвольный код на целевых системах.

Проблемы были обнаружены исследователями безопасности из компании Positive Security Фабианом Бройнлейном (Fabian Bräunlein) и Лукасом Эйлером (Lukas Euler) и затрагивают такие приложения, как Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, кошельки Bitcoin/Dogecoin, Wireshark и Mumble.

«Настольные приложения, передающие задаваемые пользователем URL-адреса для открытия операционной системой, часто уязвимы к выполнению кода при взаимодействии с пользователем. Выполнение кода может быть достигнуто либо при открытии URL-адреса, указывающего на вредоносный исполняемый файл (.desktop, .jar, .exe и пр.) на доступном через интернет файловом ресурсе (nfs, webdav, smb и пр.), либо при появлении дополнительной уязвимости в URI-обработчике открытого приложения», — пояснили эксперты.

Уязвимости связаны с недостаточной проверкой введенного URL-адреса, который при открытии с помощью базовой операционной системы приводит к непреднамеренному запуску вредоносного файла.

Эксперты сообщили о своих находках разработчикам, и большинство приложений получили исправления:

  • Nextcloud — проблема ( CVE-2021-22879 ) исправлена в версии 3.1.3;

  • Telegram — проблема была исправлена;

  • VLC Player — версия 3.0.13, исправляющая уязвимость, будет выпущена на следующей неделе;

  • OpenOffice — проблема будет исправлена в ближайшее время ( CVE-2021-30245 );

  • LibreOffice — исправлено в Windows, но ОС Xubuntu все еще уязвима ( CVE-2021-25631 );

  • Mumble — исправлена в версии 1.3.4 ( CVE-2021-27229 );

  • Dogecoin — исправлена в версии 1.14.3;

  • Bitcoin ABC — исправлена в версии 0.22.15;

  • Bitcoin Cash — исправлена в версии 23.0.0;

  • Wireshark — исправлена в версии 3.4.4 (CVE-2021-22191);

  • WinSCP — исправлена в версии 5.17.10 ( CVE-2021-3331 ).


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!