18 популярных приложений содержат критические RCE-уязвимости

18 популярных приложений содержат критические RCE-уязвимости

За спасение пользователей Microsoft и Discord эксперты получили $60 000.

image

Группа исследователей проанализировала настольные приложения на основе Electron и обнаружила уязвимости в нескольких широко используемых программах.

Electron — это бесплатный фреймворк с открытым исходным кодом для разработки кроссплатформенных настольных приложений. Он использовался для создания некоторых популярных приложений, включая Microsoft Teams, WhatsApp и Slack.

Исследовательский проект « ElectroVolt » был представлен на прошлой неделе на конференции Black Hat. Консультант по безопасности в Cure53 Мохан Педхапати и один из исследователей обнаружили уязвимости в 18 приложениях. Затронутые поставщики были проинформированы, и все они выпустили исправления.

Ошибки были обнаружены во многих приложениях, в том числе:

  • Microsoft Teams;
  • Discord;
  • Visual Studio Code;
  • Basecamp;
  • Mattermost;
  • Element;
  • Notion;
  • Rocket.Chat.

Почти все эксплойты, многие из которых включают в себя несколько уязвимостей, могут привести к удаленному выполнению кода в целевой системе. Во многих случаях для запуска эксплойтов требуется минимальное взаимодействие с пользователем, например нажатие на ссылку или открытие определенного раздела приложения.

Большинство недостатков были оценены как «критические», и исследователи заработали в общей сложности около $60 000 за раскрытие информации о них соответствующим поставщикам.

Помимо своей презентации на Black Hat , специалисты также опубликовали отдельные сообщения в блогах с описанием некоторых уязвимостей . Также доступны код проверки концепции (PoC) и видеоролики , демонстрирующие некоторые эксплойты в действии.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!