CIBERTIPS Y NOTICIAS DE CIBERSEGURIDAD

Información para todos

Vulnerabilidades one-click detectadas (VLC y Telegram entre algunas otras)

Fabian Bräunlein y Lukas Euler han descubierto mútliples vulnerabilidades one-click en aplicaciones de escritorio. Afectadas VLC, Telegram o Mumble entre otras.

A diferencia de una vulnerabilidad zero-click, en este caso se trata de múltiples vulnerabilidades one-click. Esto quiere decir que se necesita la interacción del usuario para que se produzca la explotación.

La falta de validación de las entradas de usuarios es causa común de estas vulnerabilidades. La gestión de URLs por parte de las aplicaciones hace que estas sean interpretadas finalmente por el sistema operativo. Al no estar suficientemente validadas esto provoca que la ejecución arbitraria de código sea posible.

La metodología para estudiar estas vulnerabilidades one-click varía según el SO y el tipo de aplicación. A continuación, podemos ver un esquema del proceso seguido por los investigadores.

Desde Positive Security afirman que el porcentaje de éxito al hacer tests para estas vulnerabilidades one-click ha sido muy elevado. Por lo tanto, se espera que más problemas de seguridad de este tipo aparezcan en las próximas semanas.

Múltiples capas del nivel de aplicación se ven involucradas en el proceso. Es crucial que cada una de ellas se involucre en la resolución de las vulnerabilidades one-click encontradas.

A nivel de sistema operativo, los investigadores proponen como principales soluciones evitar que se monten automáticamente shares remotos y mostrar mensajes de aviso apropiados cuando se hacen llamadas de SO con parámetros remotos.

Para los entornos de desarrollo, establecer parámetros seguros por defecto. Mientras tanto, a nivel de aplicación se debe establecer una validación del esquema URI. Este último punto es crítico en sistemas que gestionan esquemas URI para otras aplicaciones.

La mayoría de las aplicaciones afectadas han sido parcheadas, sin embargo:

LibreOffice no considera que sea necesario corregir la vulnerabilidad.

OpenOffice corregirá estas vulnerabilidades one-click en su versión 4.1.10.

VLC lo hará en su versión 3.0.13, prevista para la próxima semana.

 

Créditos: Antonio Tascón

Tags:

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Contacto

email: contacto@ameci.org

Ciudad de México, 06140

Calle Tamaulipas, Colonia Condesa

México, CDMX

Canal AMECI en Telegram