Permitir URLs arbitrários, esperar execução arbitrária de código

Views: 565
0 0
Read Time:22 Minute, 48 Second
  • Encontramos e reportamos vulnerabilidades de execução de código de 1 clique em software popular, incluindo TelegramNextcloud, VLCLibre-/OpenOffice, Carteiras Bitcoin/Dogecoin, Wireshark e Mumble
  • Aplicativos de desktop que passam urls fornecidos pelo usuário a serem abertos pelo sistema operacional são frequentemente vulneráveis à execução de código com a interação do usuário
  • A execução de código pode ser alcançada quando uma URL apontando para um executável malicioso (, , , …) hospedada em um compartilhamento de arquivo acessível à Internet (, , , …) é aberta, ou uma vulnerabilidade adicional no manipulador URI do aplicativo aberto é explorada.desktop.jar.exenfswebdavsmb
  • Vulnerabilidades seguindo esse padrão já foram encontradas em outros softwares, com mais expectativa de ser revelado daqui para frente

Introdução

Neste post, mostramos vulnerabilidades de execução de código em inúmeros aplicativos de desktop, todos com a mesma causa raiz: validação insuficiente da entrada do usuário que é posteriormente tratada como uma URL e aberta com a ajuda do sistema operacional. A estratégia de interação e exploração necessária do usuário depende do ambiente de desktop e se o aplicativo foi endurecido, por exemplo, com uma lista de permite/bloco de esquema URI. Como exemplo, aqui está como é a exploração desta edição no Nextcloud (< 3.1.3) no Xubuntu 20.04:Explorando o Nextcloud no Xubuntu

Depois de explicar a causa raiz, padrões vulneráveis e esquisitices de diferentes ambientes de so e desktop, vamos explorar como esse tipo de vulnerabilidade pode ser explorado em vários aplicativos populares de desktop.

Tabela de Conteúdos

Causa raiz: URLs fornecidos pelo usuário abertos pelo SO

A common way to open files and links from a native desktop application is by passing a URI to the operating system to handle (e.g. to open the default mail application for a link).mailto:

This is done via the following functions/programs:

  • Windows: ShellExecute*
  • Linux: (detects desktop environment and calls , , , , or xdg-opengio opengvfs-opengnome-openmate-openexo-openenlightment_open)
  • Mac: NSWorkspace#openURL()
General URI handling flow overview

When a user-supplied URL is opened in this way without additional checks, this can lead to code execution:

Browsers are aware of the potential security implications and disable -links as one of the most dangerous URI schemes, as well as at least showing a popup before navigating to other external URLs.file://

While these additional checks have been implemented over time by security-conscious browser developers, they are missing in many other applications.

Finding vulnerable features is straightforward

For any given software, check all features where user-supplied values are opened as URLs (e.g. hyperlinks). If the feature, under the hood, uses the OS to handle the opening and allows arbitrary schemes without comprehensive warning messages, there is likely a way to exploit the feature on certain platforms.

We found that QT’s function fulfills the first condition and checked popular QT-based open source software for instances where the function is called with insufficiently validated user input. Tools such as searchcode allow to easily expand a search across millions of indexed open source projects.QDesktopServices::openUrl()

Please note that this behavior and issue is not unique to QT. As another example, Electron’s has the same behavior, which lead e.g. to an RCE in the Wire Messenger.shell.openExternal()

Operating systems and desktop environments have different URL opening behaviors

From our point of view, the ideal URL opening behavior for an OS includes the following characteristics:

  • Does not automatically mount previously unmounted file shares without a comprehensive user warning as simply mounting an share can cause credential leakagesmb
  • Displays a comprehensive user warning before opening an executable or risky (i.e. ) file from a remote file share.docm

The remainder of this section contains a detailed write-up of deviations from this behavior we have observed in different operating systems. If you are not interested in those specifics, you can skip ahead to the vulnerabilities section where we demo the different vulnerable desktop applications.

Windows 10 19042

  • Os arquivos executáveis não acionam um aviso quando estão localizados em um compartilhamento de arquivo montado (instalação JRE padrão necessária).jar
  • Os caminhos UNC para todos os protocolos compatíveis de compartilhamento de arquivos causam montagem automática sem um aviso:
    • smb\\<hostname>\<filename>
    • webdav\\<hostname>\DavWWWRoot\<filename>
    • webdavs\\<hostname>@SSL\DavWWWRoot\<filename>
  • Muitos aplicativos convertem URLs de arquivos em caminhos UNC: torna-se , permitindo que se contorne verificações do lado do clientefile://<hostname>/DavWWWRoot/<filename>\\hostname\DavWWWRoot\<filename>
  • Quando o caminho UNC aponta para um arquivo na pasta raiz do compartilhamento, a montagem e abertura do arquivo é feita com uma única URL aberta/clique (caso contrário, levando dois cliques para a primeira montagem e, em seguida, aberta)

Xubuntu 20.04 (Xfce)

  • Executar um arquivo (e, portanto, executar o comando especificado) não aciona um aviso quando ele está localizado em um compartilhamento de arquivo montado e o arquivo tem o conjunto de bits executável.desktop
  • nfs Os URLs causam montagem automática sem aviso/notificação e permitem a montagem e execução através de uma única ação aberta de URL
  • dav e URLs apontando para a pasta raiz de um compartilhamento desmontado causam montagem automática. Se o servidor for modificado para retornar um elemento na resposta à primeira solicitação PROPFIND para , a montagem automática também será feita para URLs apontando para arquivos específicos no compartilhamentodavscollection/file
  • dav, , URLs causam montagem automática sem aviso prévio. Quando a montagem é iniciada por uma URL apontando para um arquivo executável, uma mensagem de aviso sobre a origem desconhecida desse arquivo é mostrada após a montagem. No entanto, mesmo que a execução seja cancelada pelo usuário, quando a mesma URL for aberta novamente, com o compartilhamento já sendo montado, o arquivo é executado e nenhum aviso adicional é exibidodavsftpftps
  • smb As URLs iniciam um processo de montagem que mostra uma caixa de diálogo de conexão (não um aviso de segurança) que pode ser confirmada com um clique no botão de confirmação pré-selecionado
  • sftp Os URLs iniciam um processo de montagem que mostra o diálogo de confirmação da chave do host na primeira conexão

Outros sistemas operacionais Linux

O comportamento exato de abertura depende do ambiente e configuração da área de trabalho. Após uma rápida revisão, o xfce parece ter os recursos mais exploráveis:

  • Montagem automática: No Kubuntu/KDE (), os arquivos remotos são abertos automaticamente, mas o compartilhamento remoto não é permanentemente montado. Quando um arquivo remoto é aberto, ele é baixado e, em seguida, aberto/executado com o programa padrão (mas bandeiras executáveis não são retidos durante este download). O Ubuntu/GNOME (gio open) não monta automaticamente as ações remotas (“O local especificado não está montado”), porém o conteúdo de compartilhamentos já montados pode ser referenciado como arquivos locais (kde-open5file:///var/run/user/<id>/gvfs/...)
  • Tipos de arquivos: os arquivos .desktop muitas vezes não são analisados/executados, mas sim abertos em um editor de texto. Como isso foi inesperado para muitos, e significava que não havia nenhuma maneira a bordo de lançar arquivos .desktop da linha de comando, um bug foi arquivado em 2009 https://bugs.launchpad.net/ubuntu/+source/glib2.0/+bug/378783 e muitas discussões semelhantes podem ser encontradas na Internet. Em dezembro de 2020, o bug foi encerrado com a introdução de um novo comando separado. Os usuários que implementaram soluções alternativas, por exemplo, associando arquivos .desktop com dex provavelmente ainda são vulneráveis.gio launch

estalo

Os aplicativos Snap estão sujeitos a um esquema URI adicional que permite. Inicialmente, esta lista continha apenas , e , que quebrou um monte de aplicativos, incluindo o Google Chrome. Recentemente foram adicionados mais esquemas URI.httphttpsmailtosnap

A equipe snap tem o objetivo explícito de endurecer chamadas usando os seguintes critérios:xdg-open

  • O esquema é entendido e documentado no código
  • O esquema em si não causa a abertura de arquivos (por exemplo. xdg-openfile://)
  • Verifica-se que o destinatário da url (ou seja, o callee de ) não processará caminhos de arquivo ou outros argumentos de uma maneira que pode ser aproveitada para sair da caixa de areia (requer entender como a url pode conduzir o aplicativo destinatário)xdg-open

Do ponto de vista da segurança, isso é muito apreciado. No entanto, a queda inicial da usabilidade foi alta, o que provavelmente levou os usuários a pacotes de .deb menos restritos. Embora mais esquemas de URI tenham sido adicionados, muitos casos de uso ainda estão quebrados. Como um exemplo bastante mundano, descobrimos que os links são abertos (com segurança no navegador) a partir do aplicativo de desktop “normal” Telegram, mas nada acontece na versão snap (“erro aberto pelo usuário: o esquema de URL fornecido “ftp” não é permitido”)ftp://

Mac (Catalina 10.15.6)

  • smb Os URLs abrem uma caixa de diálogo de conexão. Confirmando que a conexão montará o compartilhamento e abrirá uma exibição do Finder (explorador de arquivos)
  • smb URLs para arquivos específicos sobre compartilhamentos são interpretados como URLs para a pasta raiz de um compartilhamento. Eles acionam outra caixa de diálogo de conexão, mesmo que a pasta raiz real já tenha sido montada. Confirmando que a conexão adiciona uma entrada adicional com o nome do arquivo referenciado para /Volumes
  • Arquivos sobre ações já montadas podem ser referenciados via URLs apontando file/Volumes/<share_name>/<file_name>
  • file URLs para arquivos específicos abrem o arquivo com o aplicativo associado apenas para alguns tipos de arquivos como , e somente se o arquivo tiver sido aberto manualmente antes (por exemplo, clicando duas vezes no Localizador).txt
  • Em todos os outros casos testados, URLs apontando para arquivos específicos abrem o Finder para a pasta contendo em vez de abrir o arquivofile

Por favor, note: Além dessas diferentes combinações de esquemas e extensões uri de compartilhamento de arquivos, muitos mais perigos podem ser introduzidos com manipuladores personalizados de esquema de URL, independente do SO. Neste post no blog, divulgamos um desses RCE em um aplicativo de terceiros que permite a execução arbitrária de código sem interação adicional do usuário. Em um próximo post no blog, exploraremos uma vulnerabilidade semelhante em um manipulador URI padrão do Windows 10.

Summary of preconditions, observed behavior and exploitation strategies

Vulnerabilities

Nextcloud

The Nextcloud Desktop client uses in various places, however, the most interesting case is when the user connects to a Nextcloud server. In this case, the server’s login page is loaded in a WebView. QT’s default behavior is that a click on a link in a WebView does not directly call the OS’ handler, so it’s safe against our attack. However, the Nextcloud code was specifically intercepting those requests and passing them to QDesktopServices::openUrl by overwriting acceptNavigationRequest().QDesktopServices::openUrl

bool ExternalWebEnginePage::acceptNavigationRequest(const QUrl &url, QWebEnginePage::NavigationType type, bool isMainFrame) {
        Q_UNUSED(type);
        Q_UNUSED(isMainFrame);
        QDesktopServices::openUrl(url);
        return false;
}

Without any filtering on the URI scheme, this gives many possibilities and allows for smooth exploitation without additional confirmation as shown in the video in the Introduction section. The following two videos show an alternative exploit strategy for Xubuntu (using ) and exploitation on Windows in combination with a vulnerable URI handler:sftp://Alternative exploitation on Xubuntu via the `sftp://` schemeExploitation on Windows, here using a vulnerable URI handling application. Alternatively, a file:// URI pointing to a remote executable/jar file could also be used

The issue has been fixed by the Nextcloud team by replacing with their utility function , which implements an additional AllowList-check (//) before passing it to .QDesktopServices::openUrlUtility::openBrowserhttphttpsoauthtestQDesktopServices::openUrl

CVE: CVE-2021-22879
Patch: Validate sensitive URLs to only allow http(s) schemes
HackerOne report: Nextcloud Desktop Client RCE via malicious URI schemes
Security Advisory: https://nextcloud.com/security/advisory/?id=NC-SA-2021-008

Telegram

The Telegram Desktop Application for Windows/Linux/Mac OS seemed like an interesting target because it’s based on Qt and passes links directly to .QDesktopServices::openUrl

While Telegram optionally supports End-to-End-encrypted chats, the Desktop Application only supports non-E2E-encrypted chats. In this case, Telegram makes use of their ability to filter the sent URLs.

The Telegram API defines specific s (https://core.telegram.org/type/MessageEntity), that have an , a and optional additional parameters. The MessageEntities related to URLs are messageEntityUrl and messageEntityTextUrl.MessageEntityoffsetlength

With , any text can point to any URL (offset and length define which part of the message to underline while the parameter defines the destination). In this case, the backend performs strict checks on the URL and in many cases returns a “400 – Unsupported url protocol”. We found that for items (which have no URL field, so the underlined text is also the link destination), a slightly more relaxed filter list is used that allows the URI scheme. On Xubuntu, this can be exploited by linking to an executable .desktop file via (including the username and with an empty password set on the server for minimal interaction):messageEntityTextUrlurlmessageEntityUrlsftp://sftp://Exploração em Xubuntu

Em uma instalação padrão do Windows, não há aplicativos instalados para lidar com links. No entanto, nossa máquina de teste tinha o WinSCP instalado, que por padrão se registra como manipulador URI. Tendo sido baixado 150 milhões de vezes,o WinSCP é popular e quase sem concorrência como / cliente para Windows, por isso tivemos uma rápida olhada para ver o que é possível. Confira a vulnerabilidade bônus: WinSCP abaixo para ver a execução do código no Windows (com o WinSCP instalado).sftp://sftp://sftpscp

Curiosamente, poderíamos rastrear o tratamento diferente de um problema do Github a partir de 2015,onde um usuário observou e relatou um comportamento aparentemente surpreendente, e o esquema URI foi adicionado sem um caso de uso real.sftp://

manipulação de link sftp introduzido em um problema do Telegram GitHub a partir de 2015

O problema foi relatado ao Telegram em 11 de janeiro, e após vários acompanhamentos, encerrados através de uma mudança do lado do servidor em (ou ligeiramente antes) de 10 de fevereiro.

VLC

No caso do VLC, pode não ser tão óbvio que a funcionalidade explorada esteja abrindo uma URL sob o capô. O recurso vulnerável é o “Mostrar pasta contendo…” ação no menu de contexto de um item de lista de reprodução.

Ao clicar no item, o caminho do diretório de contenção é buscado e aberto por . Adicionando um URL adicional ou à URL de uma entrada de lista de reprodução, “Mostrar pasta contendo…” pode ser desviado para abrir arquivos com o aplicativo padrão associado.QDesktopServices::openUrl//doesnotexist.mp4

No entanto, antes de ser passado para , o URI é alimentado através das seguintes funções:QDesktopServices::openUrl

  • vlc_uri2path: Esta função VLC contém código que parece ter sido destinado a filtrar caminhos UNC,mas o código relevante parece ser inalcançável e a função executa com sucesso para caminhos UNC
  • FromLocalFile: Retorna uma representação QUrl de uma string “arquivo local”, mas talvez suprisingly também suporta arquivos remotos (“Esta função também aceita caminhos com uma barra de liderança duplicada (ou barra invertida) para indicar um arquivo remoto, como em //servername/path/to/file.txt“)
  • isLocalFile: Devoluções para qualquer URI a partir de (“Observe que esta função considera urls com nomes de host como caminhos de arquivo locais”)truefile:

Como todas essas funções permitem caminhos remotos, isso pode ser explorado no Windows usando um arquivo de lista de reprodução malicioso contendo uma URL de arquivo ou um caminho UNC apontando para um arquivo .jar em um compartilhamento do WebDav:file://Explorando vlc no Windows

A exploração no Linux é fortemente restrita devido à limitação do esquema URI. Como nenhum arquivo remoto pode ser referenciado para forçar um suporte automático, apenas compartilhamentos remotos já montados (por exemplo, onde a lista de reprodução reside) podem ser referenciados usando o diretório especial (por exemplo. /run/userfile:///run/user/1000/gvfs/sftp:host=<host>,user=<user>)

A questão foi atenuada adicionando um cheque para garantir que o URI aberto seja um diretório, impedindo a RCE.
não foi alterado. Assim, embora a função possa parecer ter o objetivo de não permitir arquivos remotos, os arquivos UNC ainda podem ser especificados (levando a um vazamento de hash NTLM ou potencialmente outro comportamento inesperado quando é usado).vlc_uri2pathvlc_uri2path

Relatamos a vulnerabilidade ao VLC em 18 de janeiro, juntamente com 3 candidatos de patch. Um candidato foi fundido em 08 de fevereiro e a versão corrigida 3.0.13 provavelmente será lançada na próxima semana.

Aviso de Segurança Pendente: https://www.videolan.org/security/sb-vlc3013.html

Open-/LibreOffice

O OpenOffice e o LibreOffice permitem que os Hyperlinks sejam incorporados em vários tipos de documentos, incluindo tipos de arquivos com deficiência macro que são frequentemente compartilhados entre partes não confiáveis. Os hiperlinks podem ser clicados em CTRL, enviando-os para uma chamada para no Windows ou no Linux. As explorações de um clique são mostradas para OpenOffice no Windows e Xubuntu, bem como libreOffice no Xubuntu:ShellExecutexdg-openExploiting OpenOffice on XubuntuExploiting OpenOffice on WindowsExploiting LibreOffice on Xubuntu

In the Windows version of LibreOffice, a file extension blacklist aimed at protecting against this type of attack was implemented long before our research. However, we quickly found a way to bypass this blacklist, allowing for 2-click exploitation on Windows, showcasing the unreliability of such an approach.Bypassing the LibreOffice file extension blacklist on Windows

The office suites allow for files with pretty complex content and functionality and are sometimes used in contexts where niche features like hyperlinks in documents are actually expected to work. Therefore, a fully restrictive fix would not be possible without a potentially critical impact on the user experience. As a fix, we suggest displaying a comprehensive warning message to the user before opening any non http(s) hyperlinks. This would match the behavior displayed by the Microsoft Office suite.ftp

OpenOffice response

Pending CVE: CVE-2021-30245
Pending Patch: The OpenOffice team is currently working on a fix which addresses the issue on all platforms to be included in the upcoming 4.1.10 release.

LibreOffice response

LibreOffice opted to only patch the file extension blacklist bypass for Windows. CVE-2021-25631 was assigned for the blacklist bypass.
Regarding the Xubuntu/xfce exploit, they argued that protecting against the showcased 1-click code execution is not their responsibility as the app developer.
As a result, LibreOffice on Xubuntu is still vulnerable to the exploit shown above, and at the time of writing the team has no intention of publishing a patch to fix the issue.

Mumble

The Mumble voice chatting software features a centrally managed public server list which makes it convenient for users to find and connect to servers that have opted in to be listed. In addition to the server name, server operators can provide a URL meant to link to an associated website. When a user chooses the action in the context menu for a publicly listed server, the URL is passed to Open WebpageQDesktopServices::openUrl()Exploiting Mumble on Windows

In the video, the action is selected twice to first mount the file share and then execute the hosted .jar file. A one-click exploit for windows should have been possible by using a webdav URL which points to a malicious file in the root folder of the share. We do not have video evidence of that as we discovered this optimization later when the patch was already underway and we did not want to mess around with the public server list anymore.Open WebpageExploiting Mumble on Xubuntu

In the above video the user must confirm an OS dialog to connect to the public smb share. One-click RCE should again also be possible here using an nfs share, but we did not create a PoC due to same reasons.

Exploitation in Mumble differs from the other examples here because it does not require specifically targeting the victim to achieve the desired interaction. An attacker could simply flood the public server list with entries enticing users to perform the action and gain widespread code execution (i.e. “Free Mumble server – Visit our website to get your own!”).Open Webpage

CVE: CVE-2021-27229
Patch: Restricting allowed schemes to http and https

Bitcoin/Dogecoin Wallets

The Bitcoin-Qt client (and any Altcoin using its codebase) allows users to specify the blockchain explorer website they want to use in the GUI settings window by defining a list of URIs (split by ‘|’). Those entries are then shown in the context menu for a transaction where no validation is performed on the URI scheme, and the URI is opened with its default application:Exploiting Bitcoin wallet on Windows

While some social engineering is required to get the victim to add their malicious URI, in the world of cryptocurrency scams, where users transfer their coins in the hope to receive them back doubled, this is still quite a low bar. Scammers have previously also instructed their victims to run malicious commands in the client’s RPC console, after which warning messages were added to the console:

Warning message in RPC Console

Adding Blockchain Explorer URLs to the average user should seem less dangerous/more of a normal interaction than pasting code snippets into the RPC console.

The issue was disclosed to Bitcoin Core, Bitcoin Gold, Bitcoin Cash, Bitcoin ABC and Dogecoin on January 18th.

Dogecoin: Fixed in v1.14.3 (released Feb 28th).
Bitcoin ABC: Fixed in version 0.22.15 (released March 9th).
Bitcoin Cash: Fixed in version 23.0.0 (released April 15th).
Bitcoin Gold: Initially responded, that “per the scoring matrix, it does not qualify as a security vulnerability” and closed the report. After sharing this blog post draft, a patch was developed and merged into master (but no new version released yet).
Bitcoin: No fix planned.

Wireshark

The QT based Wireshark packet analyzer application makes some fields which contain URLs double-clickable. These URLs were simply passed to , allowing for exploitation via malicious capture files or the live capture of maliciously crafted traffic.QDesktopServices::openUrlExploiting Wireshark on WindowsExploiting Wireshark on Xubuntu

CVE: CVE-2021-22191
Patch: Changing double-click behavior to copy URLs to the clipboard rather than opening them

Bonus-Vulnerability: WinSCP

WinSCP is a remote file manager that installs itself to handle many protocols including: , , , , , , , , , , , …sftp://ftp://ftps://ftpes://scp://ssh://dav://davs://s3://winscp-sftp://winscp-ftp://

While it’s expected that e.g. a username can be provided in the URI, the documentation also mentions WinSCP-specific parameters to save session data, e.g. .winscp-sftp://fingerprint=ssh-rsa-xxxxxxxxxxx...=@example.com/;save

Those parameters are so-called “Raw Settings”. Exploring the corresponding docs page, there seemed to be a few potentially dangerous parameters. Specifically, when setting to (Local) and a command as , the provided command is executed immediately when the link is opened.ProxyMethod5ProxyTelnetCommand

While the documentation recommends the use of a URI scheme with the -prefix for such commands, it is not required. We can use this to craft a URI that is accepted by Telegram and when opened by a user with WinSCP installed, allows for immediate code execution:winscpCombining the Telegram and WinSCP vulnerability for a Windows exploit

The following video shows exploitation from a website:Exploiting the WinSCP vulnerability from Google Chrome

It’s interesting to note that Chrome is neither showing the full URL nor the application that will be opened.

CVE: CVE-2021-3331
Patch: Prevent loading session settings that can lead to remote code execution from handled URLs

A mitigação sistemática requer contribuições dos mantenedores de OS, Framework e Application

Esta questão abrange várias camadas na pilha de aplicativos do sistema alvo, facilitando, portanto, que os mantenedores de qualquer um mudem a culpa e evitem assumir o ônus de implementar medidas de mitigação em seu final. No entanto, devido à diversidade de sistemas de clientes e seus estados de configuração, é crucial que cada parte envolvida assuma alguma responsabilidade e adicione sua contribuição na forma de medidas de mitigação:

Para ambientes os/desktop:

  • As ações remotas não devem ser montadas automaticamente
  • Mensagens de aviso apropriadas devem ser mostradas (por exemplo, ao chamar um arquivo remoto no Xubuntu)xdg-open.desktop

Para frameworks:

  • Os parâmetros devem ser seguros por padrão (por exemplo.QT só poderia abrir / por padrão e permitir outros esquemas através de bandeiras/parâmetros extras)openURLhttphttps

Para aplicações:

  • Aplicativos que permitem aos usuários abrir URLs externos devem validar os URLs com um esquema URI que permita
  • Aplicativos que se registram como um esquema URI ou manipulador de extensão de arquivos precisam tomar cuidado extra para não introduzir uma vulnerabilidade que pode ser explorada a partir de vários outros aplicativos não realizados

conclusão

Neste post, exploramos o comportamento do sistema operacional e as vulnerabilidades do sistema operacional. Embora a maioria dos problemas tenha sido rapidamente corrigida pelos desenvolvedores, os seguintes aplicativos ainda estão vulneráveis a partir de 2021-04-15:

  • Bitcoin (e Bitcoin Gold) Clientes de Desktop:
    É bastante surpreendente e notável ver garfos levando o problema mais a sério e implementando medidas para proteger seus usuários que o Bitcoin não faz
  • LibreOffice:
    Eles não consideraram sua responsabilidade de proteger contra a variante Xubuntu.
    Nossa recomendação para substituir a lista negra de extensão de arquivo para Windows por uma medida mais robusta foi descartada, embora tenhamos mostrado sua inconfiabilidade geral, apontando extensões de arquivos ausentes, bem como, o bypass (agora fixo) que prontamente descobrimos.
    Ambas as versões também permanecerão suscetíveis à exploração em caso de outras vulnerabilidades em manipuladores de URL de terceiros (veja a vulnerabilidade WinSCP mostrada aqui como um exemplo)
  • OpenOffice:
    Uma correção está programada para ser lançada na próxima versão 4.1.10.
    Gostaríamos de usar esta oportunidade para lembrar aos usuários que todos os arquivos de fontes não confiáveis (incluindo documentos não habilitados para macro) devem ser tratados com extrema cautela
  • VLC:

    A versão corrigida 3.0.13 estava inicialmente programada para antes de 9 de abril, mas seu lançamento foi adiado. Agora é esperado para a próxima semana

Os problemas foram fáceis de encontrar e tivemos uma alta taxa de sucesso ao verificar aplicativos para essa vulnerabilidade. Portanto, esperamos que mais vulnerabilidades desse tipo sejam descobertas ao olhar para outros aplicativos ou frameworks de interface do usuário.

AutoresFabian BräunleinLukas Euler

FONTE: POSITIVE SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL