1-Click HACK được tìm thấy trong các ứng dụng máy tính – Kiểm tra xem bạn có đang sử dụng chúng hay không.



Nhiều lỗ hổng one-click đã được phát hiện trên nhiều ứng dụng phần mềm phổ biến, cho phép các hacker có khả năng thực thi arbitrary code trên các hệ thống bị nhắm đến.

Các nhà nghiên cứu Positive Security , Fabian Bräunlein và Lukas Euler đã phát hiện ra các vấn đề và ảnh hưởng đến các ứng dụng như Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin / Dogecoin Wallets, Wireshark và Mumble.

Các nhà nghiên cứu cho biết: “Các ứng dụng máy tính chuyển các URL do người dùng cung cấp để được mở bởi hệ điều hành thường dễ bị thực thi mã với tương tác của người dùng. “Việc thực thi mã có thể đạt được khi một URL chỉ đến tệp malicious executable (.desktop, .jar, .exe,…) được lưu trữ trên một tệp chia sẻ có thể truy cập internet (nfs, webdav, smb,…) được mở, hoặc một lỗ hổng bổ sung trong trình xử lý URI của ứng dụng đã mở được khai thác. ”

Nói cách khác; các sai sót bắt nguồn từ việc xác thực URL input, khi được mở với sự trợ giúp của hệ điều hành cơ bản, dẫn đến việc thực thi một cách vô tình tệp độc hại.

Phân tích của Positive Security cho thấy nhiều ứng dụng không xác thực được URL, do đó cho phép các hacker liên kết thủ công trỏ đến một đoạn mã tấn công, dẫn đến bị remote code execution.

Sau khi thông báo có trách nhiệm về vụ việc, hầu hết các ứng dụng đã phát hành các bản vá để sửa chữa các lỗ hổng –

Nextcloud – Đã sửa lỗi trong phiên bản 3.1.3 của Desktop Client được phát hành vào ngày 24 tháng 2 (CVE-2021-22879)

Telegram – Sự cố được báo cáo vào ngày 11 tháng 1 và sau đó được khắc phục thông qua thay đổi phía máy chủ vào (hoặc trước đó một chút) ngày 10 tháng 2

VLC Player – Vấn đề được báo cáo vào ngày 18 tháng 1, với phiên bản vá lỗi 3.0.13 được thiết lập để phát hành vào tuần tới

OpenOffice – Sẽ được sửa trong thời gian tới (CVE-2021-30245)

LibreOffice – Được khắc phục trong Windows, nhưng dễ bị tấn công trong Xubuntu (CVE-2021-25631)

Mumble – Đã sửa trong phiên bản 1.3.4 phát hành vào ngày 10 tháng 2 (CVE-2021-27229)

Dogecoin – Đã sửa trong phiên bản 1.14.3 phát hành vào ngày 28 tháng 2

Bitcoin ABC – Đã sửa trong phiên bản 0.22.15 được phát hành vào ngày 9 tháng 3

Bitcoin Cash – Đã sửa trong phiên bản 23.0.0 (hiện đang trong quá trình phát hành)

Wireshark – Đã sửa lỗi trong phiên bản 3.4.4 được phát hành vào ngày 10 tháng 3 (CVE-2021-22191)

WinSCP – Đã sửa lỗi trong phiên bản 5.17.10 phát hành vào ngày 26 tháng 1 (CVE-2021-3331)

Các nhà nghiên cứu cho biết: “Vấn đề này ở trong nhiều lớp trong stacks của ứng dụng hệ thống bị tấn công, do đó khiến người bảo trì của bất kỳ lớp nào dễ dàng chuyển lỗi và tránh gánh nặng của việc thực hiện các biện pháp giảm thiểu,” các nhà nghiên cứu cho biết.

“Tuy nhiên, do sự đa dạng của client systems và trạng thái cấu hình của chúng, điều quan trọng là mọi bên liên quan phải chịu một số trách nhiệm và bổ sung đóng góp dưới dạng các biện pháp giảm thiểu”, chẳng hạn như xác thực URL và ngăn chia sẻ từ xa.

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật