Actualités

URI, URL : de nombreuses applications de messagerie ou de service intégraient un exploit potentiellement malveillant au niveau des (hyper)liens ! (hyper-dangereux…)

Dans un billet sécuritaire très détaillé, l’équipe Positive Security alerte : depuis Février 2021, Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, les porte-feuilles (wallets) Bitcoin et Dogecoin, Wireshark et Mumble sont impactés par une vulnérabilité inquiétante voire dangereuse. En effet, celle-ci se situe, tout simplement, au niveau des liens ou URLs, que l’on partage, par exemple…

 

 

Nous montrons les vulnérabilités d’exécution de code dans de nombreuses applications de bureau, toutes avec la même cause fondamentale: une validation insuffisante de l’entrée utilisateur qui est ensuite traitée comme une URL et ouverte à l’aide du système d’exploitation. L’interaction utilisateur requise et la stratégie d’exploitation dépendent de l’environnement de bureau et si l’application a été renforcée, par exemple, avec une liste d’autorisation / de blocage de schéma d’URI […] Un moyen courant d’ouvrir des fichiers et des liens à partir d’une application de bureau native consiste à transmettre un URI au système d’exploitation à gérer (par exemple, pour ouvrir l’application de messagerie par défaut pour un mailto: link)“, est-il précisé dans le PoC qui explique que la faille est exploite dans presque tout les environnements, de l’application jusqu’au navigateur Web, étant donné que ce dernier ouvrira le lien cliqué, par exemple, depuis une conversation au sein de Telegram. La faille existe, expliquent les chercheurs, dès lors que des “schémas arbitraires sans messages d’avertissement complets” existent ; ce principe est d’autant plus à appliquer pour les URLs renvoyant vers un lien de fichier exécutable ou “d’un partage SMB“…

Il est indiqué que d’ici la semaine prochaine, VLC déploiera une version 3.0.13 intégrant le correctif. OpenOffice prendra en compte, également, la faille (CVE-2021-30245) au sein de sa prochaine version estampillée 4.1.10. Pour le reste et pour l’heure, les éditeurs ne semblent pas se presser : LibreOffice estime qu’il n’y a pas de correctif à fournir ; même son de clôche pour Bitcoin-Bitcoin Gold. Quand à Telegram, peu loquace, le billet indique que la vulnérabilité a été signalée le 11 Janvier 2021 au sein d’un fil dédié (partagé avec les chercheurs) et que celui-ci, “après plusieurs suivis” a été clôturé “via un changement côté serveur“, aux alentours du 10 Février 2021. NextCloud a comblé la vulnérabilité (CVE-2021-22879) fin Février 2021 ; idem concernant Mumble qui, au 6 Février 2021, a signalé la gestion d’une liste blanche à ce niveau, depuis la version colmatée (CVE-2021-27229) 1.3.4… A veiller !

 

Source : Blog Positive Security – 15 Avril 2021 – PoC sur les URLs ou URIs arbitraires, depuis Février 2021, depuis les logiciels ou applications vers les navigateurs Web.




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2