för Zero Day
| November 26, 2019 — 13:38 GMT (13:38 GMT)
| Ämne: Säkerhet
Twitter klampar ner på utvecklare tillgång till Api: er
Företaget har rullat ut uppdateringar till sina utvecklare plattform som det fungerar att slå ner på användandet av Twitter API. Läs mer: https://zd.net/2JSfFMN
Sårbarheter i Kaspersky har lämnat ett internt API öppna för missbruk av webmasters och försök att lappa har hittills misslyckats.
På måndag, software developer Wladimir Palant dokumenterat saga, som började efter att han började undersöka Kaspersky Web Protection funktioner som ingår i program som Kaspersky Internet Security 2019. Online-skydd ingår skannar av sökresultat för att rensa ut potentiellt skadliga länkar, annonsblockering, och spårning förebyggande.
I December förra året, utvecklare finns en uppsättning av sårbarheter och säkerhetsfrågor i Web Protection-funktionen, som kan aktiveras av varje webbplats.
Web Protection behov att kunna kommunicera med de viktigaste Kaspersky ansökan och en “hemlig” signatur värde, som i teorin är inte kända för att webb-domäner, som är aktiverade för att säkerställa en säker kommunikation. Men en säkerhetsbrist tillåtna webbplatser för att framkalla denna nyckel “ganska lätt”, enligt Palant och “tillåta dem att upprätta en anslutning till Kaspersky ansökan och skicka kommandon precis som Web Protection skulle göra.”
Chrome och Firefox extensions använder native meddelanden om du vill hämta signatur, medan Internet Explorer läser manus injektioner. Utan ett tillägg till webbläsaren, Kaspersky kommer att injicera skript direkt i web-sidor, och det är där den första sårbarheten i not, CVE-2019-15685, såg ut genom missbruk av URL-Rådgivare och ramar för att extrahera signatur.
“Webbplatser kan använda denna sårbarhet, till exempel för att inaktivera tyst adblocking och tracking protection funktionalitet,” utvecklaren säger. “De kan också göra en hel del saker där effekterna var inte riktigt lika självklart.”
Se även: DePriMon downloader använder nya sätt att infektera din DATOR med malware ColoredLambert
Efter att felet rapporterades, Kaspersky utvecklat en korrigering i juli 2019 genom att blockera tillgång till vissa funktioner på webbplatser 2020 produkter. Men andra kommandon kan fortfarande vara accepterade, som vitlista webbplatser på adblockers (CVE-2019-15686). Ett nytt problem har också uppstått på grund av att de misslyckats med patch, webbplatser har tillgång till användarnas uppgifter om systemet, inklusive unika identifierare för Kaspersky installation på en PC (CVE-2019-15687).
“När jag provat den nya Kaspersky Internet Security 2020, utvinna hemlighet från injiceras skript var fortfarande triviala och den största utmaningen var att anpassa sig min proof-of-concept-koden till ändringar i API ringer konvention,” Palant säger. “Ärligt talat, jag kan inte skylla på Kaspersky utvecklare för att inte ens försöka-och jag tror att försvara sina manus i en miljö som de inte kan kontrollera är en förlorad sak.”
Detta oavsiktligt införda data leak var inte slutet på historien. Palant säger att plåstret också infört en ny sårbarhet som kan användas för att utlösa en krasch i antivirus process, lämnar system utsatta för kompromiss, spårade som CVE-2019-15686.
It-företaget sedan försökte en annan fixa, lösa uppgifter läcka och “mest” fastställande av krasch, hemsidor inte längre kunde utlösa en krasch, men webbläsartillägg eller lokala tillämpningar möjligen kunde.
TechRepublic: E Kompromiss: 5 sätt detta bedrägeri kunde hända och vad som kan göras för att förhindra det
En ny patch har utvecklats och kommer att finnas tillgänglig den 28 November, men med tanke på en återgång skript synsätt snarare än att förlita sig enbart på webbläsare, utvecklare är inte hoppfull när det kommer till den verkliga lösningen på problemet.
“Kanske Kaspersky är så knutna till skript som injiceras direkt i web-sidor, eftersom dessa anses vara ett utmärkande drag för sin produkt, att kunna göra sitt jobb även om användarna nedgång för att installera tillägg,” utvecklaren säger. “Men det har också råkar vara en säkerhets risk och verkar inte repareras.”
“En sak inte kommer att ändras, dock: webbplatser kan fortfarande skicka kommandon till Kaspersky program. Är all funktionalitet som de kan utlösa det ofarligt? Jag skulle inte satsa på det.”
CNET: Medlem av gruppen bakom Jack Dorsey ‘ s Twitter-konto hack som gripits
Uppdatering 14.14 GMT: EN Kaspersky talesperson berättade ZDNet:
“Kaspersky har fasta frågor om säkerhet på webben skydd beståndsdel i dess produkter och produkt-tillägg för Google Chrome. Dessa säkerhetsfrågor var fast med fläckar 2019 jag, J och 2020 E, F, och som överlämnats till användare via automatisk uppdatering förfaranden.
En omstart kan krävas för att tillämpa dessa uppdateringar.
Företaget rekommenderar också som användare se till att Kaspersky skydd tillägg för webbläsare som är installerade och aktiverade. Detaljerad information om de fasta frågor som är tillgängliga på Kasperskys hemsida.”
Tidigare och relaterade täckning
Hälso-och sjukvård start befattningshavare laddat över $1 miljard bluff
Samsung Heavy Industries för att betala $75 miljoner för att reglera mutor fall
Nya SectopRAT Trojan skapar hidden andra skrivbordet för att styra webbläsaren sessioner
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 26, 2019 — 13:38 GMT (13:38 GMT)
| Ämne: Säkerhet