Vulnerabilidades de "um clique", que permitem que cibercriminosos executem código arbitrário de forma remota, foram identificadas em aplicações populares, alertam os pesquisadores Fabian Bräunlein e Lukas Euler, da firma alemã de segurança da informação, Positive Security.
- Até o FBI está invadindo backdoors no Exchange... Mas para removê-los de vez
- Vulnerabilidades de execução de código remoto ainda afetam CS:GO
- Ataques contra servidores Microsoft Exchange crescem 1028% em uma semana
Os pesquisadores encontraram as vulnerabilidades nos aplicativos: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, carteiras de Bitcoin e Dogecoin, Wireshark e Mumble. Então, atenção! Se utiliza esses aplicativos atualize-os imediatamente.
Segundo eles, estes aplicativos passam URLs fornecidas pelo usuário para serem abertas pelo sistema operacional. Essa função normalmente pode significar uma vulnerabilidade de execução de código:
"Aplicativos de desktop que passam URLs fornecidos pelo usuário para serem abertos pelo sistema operacional são frequentemente vulneráveis à execução de código com a interação do usuário... A execução do código pode acontecer quando uma URL de um executável malicioso (.desktop, .jar, .exe e outros) é aberta", escrevem os pesquisadores em um relatório publicado nesta quinta-feira (15).
Bräunlein e Euler identificaram que esses aplicativos populares não conseguiram validar as URLs. Ou seja, um cibercriminoso pode criar um link malicioso, que ao ser executado pelo usuário, permite execução de código arbitrário na máquina da vítima, de forma remota.
Como procedimento padrão, os pesquisadores entraram em contato com os desenvolvedores, explicando o problema. Mas, embora as vulnerabilidades tenham sido descobertas no começo deste ano (e informadas às empresas na mesma data), alguns desenvolvedores ainda não corrigiram os problemas e os aplicativos: Bitcoin Desktop Client; Bitcoin Gold Desktop Client; LibreOffice; OpenOffice e VLC, continuam vulneráveis em determinadas situações, pelo menos até a data de hoje (15/04).
"É fácil para os desenvolvedores de qualquer um [aplicativo] deslocar a culpa e evitar assumir o fardo de implementar as medidas de mitigação... É crucial que cada parte envolvida assuma alguma responsabilidade e acrescente sua contribuição na forma de medidas de mitigação", escrevem.
Segundo eles, os aplicativos de Bitcoin não estão interessados em resolver os problemas. O LibreOffice continua vulnerável para usuários do Xubuntu (distribuição Linux baseada em sistemas Ubuntu), já que os desenvolvedores consideram que a responsabilidade é do Xubuntu e não deles. E o VLC, está com um patch agendado para a próxima semana.
Aplicativos como o LibreOffice (instalado de forma nativa em grande parte dos sistemas baseados em Linux), OpenOffice e VLC são soluções de código aberto amplamente utilizadas por usuários e empresas no mundo todo. O VLC, por exemplo, conta com quase 1 bilhão de downloads somando os da fonte oficial (site da desenvolvedora) e os realizados através do SourceForge.
Fontes: Positive Security; SourceForge; VideoLAN.