for Nul-Dag
| November 26, 2019 — 13:38 GMT (13:38 GMT)
| Emne: Sikkerhed
Twitter slår ned på udvikler adgang til Api ‘ er
Virksomheden har opbygget flere opdateringer til sine developer platform, da det virker til at slå hårdt ned på brugen af Twitter API. Læs mere: https://zd.net/2JSfFMN
Sårbarheder i Kaspersky software har forladt en intern API åbne for misbrug af webmastere og forsøg på at patch har hidtil mislykkedes.
Mandag, software developer Wladimir Palant dokumenteret, at sagaen, som begyndte, efter at han begyndte at undersøge Kaspersky Web Protection funktioner i softwaren, såsom Kaspersky Internet Security 2019. Online beskyttelse funktioner omfatter scanninger af søgeresultater til at luge ud i potentielt ondsindede links, der blokerer for annoncer, og tracking forebyggelse.
I December sidste år, den udvikler fandt et sæt af sårbarheder og sikkerhedsproblemer i Web Beskyttelse funktion, som kan være aktiveret af enhver hjemmeside.
Web-Beskyttelsen skal være i stand til at kommunikere med de vigtigste Kaspersky ansøgning og en “hemmelig” signatur værdi, hvilket i teorien ikke er kendt for at web-domæner, der er aktiveret for at sikre en sikker kommunikation. Men et sikkerhedshul tilladte websteder til at fremkalde denne nøgle “ret let” i henhold til Palant, og “give dem mulighed for at oprette en forbindelse til Kaspersky ansøgning og sende kommandoer, ligesom Web Beskyttelse ville gøre.”
Chrome og Firefox-udvidelser bruge native-beskeder for at hente den signatur, der henviser til, læser Internet Explorer script injektioner. Uden en browser udvidelse, vil Kaspersky injicere sine scripts direkte i web-sider, og dette er, hvor den første sårbarhed bemærk, CVE-2019-15685, dukkede op ved misbrug af URL-Rådgiver og rammer for at udtrække signatur.
“Hjemmesider kan udnytte denne svaghed, for eksempel, til at stille deaktivere adblocking og sporing af beskyttelse, funktionalitet,” bygherren siger. “De kunne også gøre en hel del ting, hvor effekten var ikke helt så indlysende.”
Se også: DePriMon downloader anvender nye måder at inficere din PC med malware ColoredLambert
Efter fejlen blev rapporteret, Kaspersky udviklet en rettelse i juli 2019 ved at blokere adgang til nogle funktioner til hjemmesider i 2020 produkter. Men, andre kommandoer kan stadig blive accepteret, som whitelisting hjemmesider på adblockers (CVE-2019-15686). Et nyt problem er også opstået på grund af den mislykkede patch, hjemmesider var i stand til at få adgang til brugernes data, herunder entydig identifikation af Kaspersky installation på en PC (CVE-2019-15687).
“Når jeg har prøvet den nye Kaspersky Internet Security 2020, udvinding af hemmeligheden fra injiceres scripts stadig var trivielt og den største udfordring var at tilpasse min proof-of-concept kode for at ændringer i API kald konventionen,” Palant siger. “Helt ærligt, jeg kan ikke bebrejde Kaspersky udviklere for ikke selv at forsøge — jeg tror, at forsvare deres scripts i et miljø, som de ikke kan styre, er en tabt sag.”
Dette uforvarende-indført data lækagen var ikke slutningen på historien. Palant siger, at patch har også indført en ny sårbarhed, der kan bruges til at udløse et nedbrud i antivirus-processen, forlader systemer sårbare over for kompromis, spores som CVE-2019-15686.
Cybersikkerhed firma forsøgte derefter endnu et fix, der løser de data, lækker og “for det meste” fastsættelse af nedbrud problem, hjemmesider ikke længere kunne udløse et crash, men browser-udvidelser eller lokale applikationer overhovedet kunne.
TechRepublic: Business e-Mail-Kompromis: 5 måder dette bedrageri kunne ske, og hvad der kan gøres for at forebygge det
En ny patch er blevet udviklet og vil blive gjort tilgængelige på 28 November, men på grund af en fallback-script injektion tilgang snarere end at forlade sig udelukkende på browser-udvidelser, de udvikler, er ikke optimistisk, når det kommer til den sande løsning på problemet.
“Måske Kaspersky er så knyttet til scripts injiceres direkte ind i web-sider, fordi disse betragtes som et særkende for deres produkt, at det er i stand til at gøre sit job, selv hvis brugerne tilbagegang for at installere udvidelser,” bygherren siger. “Men det har også sker for at være en sikkerhed, fare og synes ikke at kan erstattes.”
“En ting vil ikke ændre sig, men: hjemmesider, kan stadig sende kommandoer til Kaspersky applikationer. Er alle de funktioner, de kan udløse der uskadelige? Jeg ville ikke satse på det.”
CNET: Medlem af gruppen bag Jack Dorsey ‘ s Twitter-konto hack angiveligt arresteret
Opdatering 14.14 GMT: EN Kaspersky talsmand fortalte ZDNet:
“Kaspersky har fast sikkerhedsproblemer i web beskyttelse komponent i sine produkter og produkt-udvidelser til Google Chrome. Disse sikkerhedsproblemer blev rettet af patches 2019 i, J og 2020 E, F, som blev leveret til brugere via den automatiske opdatering procedurer.
En kan være nødvendigt at genstarte for at anvende disse opdateringer.
Det selskab, der også anbefaler, at brugere kan sørge for, at Kaspersky beskyttelse udvidelser for web-browsere, der er installeret og aktiveret. Detaljerede oplysninger om de faste spørgsmål, der er til rådighed på Kaspersky hjemmeside.”
Tidligere og relaterede dækning
Healthcare start ledere opkrævet over $1 mia fidus
Samsung Heavy Industries til at betale $75 millioner på at løse bestikkelse sag
Nye SectopRAT Trojanske skaber skjult anden computer for at kontrollere browser sessioner
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 26, 2019 — 13:38 GMT (13:38 GMT)
| Emne: Sikkerhed