Informática & Derecho WikiBlog

Tamaño de fuente: +
Denunciar este artículo
  Imprimir
2 minutos de lectura ( 333 palabras)

Vulnerabilidades one-click detectadas (VLC y Telegram entre algunas otras)

2200 Hits

Fabian Bräunlein y Lukas Euler han descubierto mútliples vulnerabilidades one-click en aplicaciones de escritorio. Afectadas VLC, Telegram o Mumble entre otras.

diagrama de flujo del manejo de una URI
Flujo del manejo de una URI. Fuente Positive Security

A diferencia de una vulnerabilidad zero-click, en este caso se trata de múltiples vulnerabilidades one-click. Esto quiere decir que se necesita la interacción del usuario para que se produzca la explotación.

La falta de validación de las entradas de usuarios es causa común de estas vulnerabilidades. La gestión de URLs por parte de las aplicaciones hace que estas sean interpretadas finalmente por el sistema operativo. Al no estar suficientemente validadas esto provoca que la ejecución arbitraria de código sea posible.

La metodología para estudiar estas vulnerabilidades one-click varía según el SO y el tipo de aplicación. A continuación podemos ver un esquema del proceso seguido por los investigadores.

diagrama con al estrategia de detección y explotación de las vulnerabilidades
Estrategia de identificación y explotación. Fuente Positive Security

Desde Positive Security afirman que el porcentaje de éxito al hacer tests para estas vulnerabilidades one-click ha sido muy elevado. Por lo tanto se espera que más problemas de seguridad de este tipo aparezcan en las próximas semanas.

Múltiples capas del nivel de aplicación se ven involucradas en el proceso. Es crucial que cada una de ellas se involucre en la resolución de las vulnerabilidades one-click encontradas.

A nivel de sistema operativo, los investigadores proponen como principales soluciones evitar que se monten automáticamente shares remotos y mostrar mensajes de aviso apropiados cuando se hacen llamadas de SO con parámetros remotos.

Para los entornos de desarrollo, establecer parámetros seguros por defecto. Mientras tanto, a nivel de aplicación se debe establecer una validación del esquema URI. Este último punto es crítico en sistemas que gestionan esquemas URI para otras aplicaciones.

La mayoría de aplicaciones afectadas han sido parcheadas, sin embargo:

  • LibreOffice no considera que sea necesario corregir la vulnerabilidad.
  • OpenOffice corregirá estas vulnerabilidades one-click en su versión 4.1.10.

 

  • VLC lo hará en su versión 3.0.13, prevista para la próxima semana.

 

Autor:  Por

Fuente: https://unaaldia.hispasec.com/2021/04/vulnerabilidades-one-click-en-vlc-telegram-o-libreoffice.html

0
¿Cómo te sientes acerca de este post?
Feliz (0)
Amor (0)
Sorprendido (0)
Triste (0)
Enojado (0)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Bug de Whatsapp vulnerable a ataques Man in the Di...
Cómo el FBI finalmente se metió en el iPhone del t...

Sobre el autor

Juan Jose Paso

Juan Jose Paso

(536 Puntos)

Logros

Entradas recientes del autor
Más publicaciones del autor
 

Compartir

Aporte reciente al blog

10 Febrero 2024
NUEVO MÉTODO QUE ESTÁN UTILIZANDO PARA ESTAFAR POR WHATSAPP
NUEVO MÉTODO QUE ESTÁN UTILIZANDO PARA ESTAFAR POR WHATSAPP
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
Leer más
16 Noviembre 2023
PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS - AGENCIA DE ACCESO A LA INFORMACION PUBLICA
PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS - AGENCIA DE ACCESO A LA INFORMACION PUBLICA
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...
Leer más

Enlaces útiles

 

 
 

 

Suscribirme al Blog:

Suscríbete a nuestro blog

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
X

Buscador

Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto:

Buscar material - Añadir material - Publicar artículo - Crear evento

 

Red Social - Wiki Blog - Glosario - Material de estudio - Políticas