- Mitglied seit
- 17.02.2007
- Beiträge
- 678
- Punkte für Reaktionen
- 1.026
- Punkte
- 93
Desktop versions of Telegram, OpenOffice, etc. contained a one-click bug
The desktop versions of Telegram, OpenOffice, and others contained a one-click bug. Researchers discovered many vulnerabilities in popular applications that allow arbitrary code to be executed on users' systems with just one click. This is why such flaws have been given the informal name of one-click vulnerabilities.
Security problems were identified by the specialists of Positive Security - Fabian Broenlein and Lucas Oila. It turned out that the bugs affect well-known applications: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark and Mumble, etc.
“Desktop applications that allow the operating system to open a URL from the user have a code execution vulnerability. Operation requires interaction with the victim, ”the experts explain.
“Arbitrary code can be launched by linking to a malicious executable file (.desktop, .jar, .exe, etc.) located on the Internet. An attacker can also exploit an additional hole in the open URI handler of the software. "
In other words, bugs exist due to insufficient validation of input URLs opened with the participation of the operating system. Under certain conditions, this leads to the unintentional launch of a malicious file.
As noted by researchers from Positive Security, many desktop applications failed to validate links correctly.
Fortunately, in most applications, these vulnerabilities have already been eliminated, so users can only keep track of the released versions and regularly update the installed software.
The experts provided a list of the programs affected by the problems:
Nextcloud - The vulnerability (CVE-2021-22879) has been fixed in version 3.1.3 of the desktop client (released on February 24).
Telegram - the vulnerability was patched on February 10.
VLC Player - the vulnerability was fixed in version 3.0.13 (should come to users next week).
OpenOffice - patches not yet released (CVE-2021-30245).
LibreOffice - The hole was fixed in Windows, but remained in Xubuntu (CVE-2021-25631).
Mumble - patch came out with version 1.3.4 on February 10 (CVE-2021-27229).
Dogecoin - The patch came out with version 1.14.3 on February 28th.
Bitcoin ABC - The patch was released with version 0.22.15 on March 9th.
Bitcoin Cash - The patch came out with version 23.0.0.
Wireshark - The patch was released with version 3.4.4 on March 10 (CVE-2021-22191).
WinSCP - patch was released with version 5.17.10 - January 26 (CVE-2021-3331).
A source
Original message
Десктопные версии Telegram, OpenOffice и др. содержали баг одного клика
Десктопные версии Telegram, OpenOffice и др. содержали баг одного клика Исследователи обнаружили множество уязвимостей в популярных приложениях, допускающих выполнение произвольного кода в системах пользователей всего лишь с помощью одного клика. Именно поэтому такие бреши получили неформальное имя «уязвимости одного клика» (one-click vulnerabilities).
Проблемы безопасности выявили специалисты компании Positive Security — Фабиан Броенляйн и Лукас Ойла. Оказалось, что баги затрагивают всем известные приложения: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark и Mumble и т. п.
«Десктопные приложения, позволяющие операционной системе открывать URL от пользователя, содержат уязвимость выполнения кода. Для эксплуатации требуется взаимодействие с жертвой», — объясняют специалисты.
«Добиться запуска произвольного кода можно с помощью ссылки на вредоносный исполняемый файл (.desktop, .jar, .exe, и т. п.), расположенный в Сети. Также злоумышленник может задействовать дополнительную дыру в открытом URI-обработчике софта».
Другими совами, баги существуют благодаря недостаточной валидации ввода URL, открываемых с участием операционной системы. В определённых условиях это приводит к непреднамеренному запуску вредоносного файла.
Как отметили исследователи из Positive Security, многие десктопные приложения не смогли провести корректную валидацию ссылок.
К счастью, в большинстве приложений эти уязвимости уже устранены, так что пользователям остаётся лишь следить за выходящими версиями и регулярно обновлять установленный софт.
Эксперты привели список затронутых проблемами программ:
Nextcloud - уязвимость (CVE-2021-22879) устранена в версии 3.1.3 десктопного клиента (выпущена 24 февраля).
Telegram - брешь пропатчили 10 февраля.
VLC Player - уязвимость устранили в версии 3.0.13 (должна прийти пользователям на следующей неделе).
OpenOffice - патчи ещё не вышли (CVE-2021-30245).
LibreOffice - дыру устранили в Windows, но она осталась в Xubuntu (CVE-2021-25631).
Mumble - патч вышел с версией 1.3.4 — 10 февраля (CVE-2021-27229).
Dogecoin - патч вышел с версией 1.14.3 — 28 февраля.
Bitcoin ABC - патч вышел с версией 0.22.15 — 9 марта.
Bitcoin Cash - патч вышел с версией 23.0.0.
Wireshark - патч вышел с версией 3.4.4 — 10 марта (CVE-2021-22191).
WinSCP - патч вышел с версией 5.17.10 — 26 января (CVE-2021-3331).
Источник