Vulnerabilidades de “um clique” que permitem que os cibercriminosos executem remotamente código arbitrário foram identificadas em aplicativos populares, alertam os pesquisadores Fabian Bräunlein e Lukas Euler, da empresa alemã de segurança da informação Positive Security.
Os pesquisadores encontraram as vulnerabilidades nos aplicativos: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, carteiras Bitcoin e Dogecoin, Wireshark e Mumble. Então, atenção! Se você usar esses aplicativos, atualize-os imediatamente.
Segundo eles, esses aplicativos passam URLs fornecidos pelo usuário para serem abertos pelo sistema operacional. Esta função normalmente pode significar uma vulnerabilidade de execução de código:
“Aplicativos de desktop que passam URLs fornecidos pelo usuário para serem abertos pelo sistema operacional são frequentemente vulneráveis à execução de código com interação do usuário… A execução do código pode acontecer quando um URL de um executável malicioso (.desktop, .jar, .exe e outros ) está aberto“, escrevem os pesquisadores em relatório publicado nesta quinta-feira (15).
Bräunlein e Euler identificaram que esses aplicativos populares não conseguiam validar os URLs. Ou seja, um cibercriminoso pode criar um link malicioso, que ao ser executado pelo usuário, permite a execução de código arbitrário na máquina da vítima, remotamente.
Como procedimento padrão, os pesquisadores contataram os desenvolvedores, explicando o problema. Mas, embora as vulnerabilidades tenham sido descobertas no início deste ano (e informadas às empresas na mesma data), alguns desenvolvedores ainda não corrigiram os problemas e aplicativos: Bitcoin Desktop Client; Cliente de desktop Bitcoin Gold; LibreOffice; OpenOffice e VLC, permanecem vulneráveis em determinadas situações, pelo menos até hoje (15/04).
“É fácil para qualquer desenvolvedor [aplicativo] transferir a culpa e evitar assumir o fardo de implementar medidas de mitigação … É crucial que cada parte envolvida assuma alguma responsabilidade e acrescente sua contribuição na forma de medidas de mitigação”, escrevem eles.
Segundo eles, os aplicativos Bitcoin não têm interesse em resolver os problemas. O LibreOffice permanece vulnerável para usuários do Xubuntu (distribuição Linux baseada em sistemas Ubuntu), uma vez que os desenvolvedores consideram a responsabilidade do Xubuntu e não deles. E o VLC, tem um patch programado para a próxima semana.
Aplicativos como o LibreOffice (instalado nativamente na maioria dos sistemas baseados em Linux), OpenOffice e VLC são soluções de código aberto amplamente utilizadas por usuários e empresas em todo o mundo. O VLC, por exemplo, tem quase 1 bilhão de downloads, incluindo aqueles da fonte oficial (o site do desenvolvedor) e aqueles baixados através do SourceForge.
Fontes: Positive Security; SourceForge; VideoLAN, TheHack.