per Zero-Day
| 26 novembre 2019 — 13:38 GMT (13:38 GMT)
| Argomento: Sicurezza
Twitter morsetti giù sviluppatori l’accesso alle Api
L’azienda ha implementato ulteriori aggiornamenti per la piattaforma di sviluppo come funziona per bloccare l’utilizzo di API di Twitter. Leggi di più: https://zd.net/2JSfFMN
Vulnerabilità nel software Kaspersky hanno lasciato un’API interno di abusi da parte di webmaster e i tentativi di patch, finora, non è riuscito.
Lunedì, sviluppatore di software di Wladimir Palant documentato la saga, iniziata dopo che ha iniziato a indagare Web Kaspersky funzioni di Protezione incluso nel software come Kaspersky Internet Security 2019. La protezione online di funzionalità include le scansioni dei risultati di ricerca per estirpare potenzialmente dannoso link, il blocco della pubblicità, e di monitoraggio per la prevenzione.
Nel dicembre dello scorso anno, lo sviluppatore trovato una serie di vulnerabilità e problemi di sicurezza in funzione di Protezione Web, che può essere attivata da qualsiasi sito web.
Web, la Protezione deve essere in grado di comunicare con il principale dell’applicazione Kaspersky e un “segreto” il valore della firma, che in teoria non è noto per i domini web, è attivata per garantire una comunicazione sicura. Tuttavia, una falla di sicurezza di siti web consentiti per suscitare questa chiave “abbastanza facilmente”, secondo Palant, e “consentire loro di stabilire un collegamento per l’applicazione Kaspersky e l’invio di comandi solo come Protezione Web vorresti fare.”
Chrome e Firefox estensioni di utilizzare nativo di messaggistica per recuperare la firma, mentre Internet Explorer legge script iniezioni. Senza un estensione per il browser, Kaspersky inietta il suo script direttamente nelle pagine web, e questo è dove la prima vulnerabilità di nota, CVE-2019-15685, è apparso, attraverso l’abuso di URL Advisor e i fotogrammi in modo da estrarre la firma.
“I siti web potrebbe sfruttare questa vulnerabilità, per esempio, invisibile all’utente di disattivare la funzionalità di adblock e la funzionalità protezione da monitoraggio,” lo sviluppatore dice. “Si potrebbe anche fare un po’ di cose in cui l’impatto non era molto evidente.”
Vedi anche: DePriMon downloader utilizza nuovi modi per infettare il PC con malware ColoredLambert
Dopo il difetto è stato segnalato, Kaspersky sviluppato una correzione nel mese di luglio 2019, bloccando l’accesso ad alcune funzionalità dei siti web nel 2020 prodotti. Tuttavia, altri comandi possono essere accettate, come la whitelist di siti web su adblockers (CVE-2019-15686). Un nuovo problema che è emerso, inoltre, a causa della mancata patch; siti web sono stati in grado di accedere ai dati di sistema, tra cui identificatori unici di Kaspersky installazione su un PC (CVE-2019-15687).
“Quando ho provato il nuovo Kaspersky Internet Security 2020, l’estrazione del segreto iniettata script è stato ancora più banale e la sfida principale è stata adattando il mio proof-of-concept codice di cambiamenti nelle API convenzione di chiamata,” Palant, dice. “Francamente, non posso incolpare Kaspersky sviluppatori per provare neppure, penso che difendere i loro script in un ambiente che non può controllare è una causa persa.”
Questo inavvertitamente introdotto perdita di dati non è stata la fine della storia. Palant dice che la patch ha introdotto anche una nuova vulnerabilità che potrebbe essere utilizzato per attivare un crash antivirus nel processo, lasciando sistemi vulnerabili al compromesso, tracciati come CVE-2019-15686.
La cybersecurity azienda ha poi cercato un altro fix, per risolvere la perdita di dati e “soprattutto” risolvere il problema di crash; siti web più potrebbe innescare un incidente, ma le estensioni del browser o applicazioni locali potrebbe eventualmente.
TechRepublic: Posta elettronica Aziendale Compromesso: 5 modi in cui questo tipo di frode potrebbe accadere e cosa si può fare per evitare che
Una nuova patch è stato sviluppato e sarà reso disponibile su novembre 28, ma dato un fallback script iniezione di approccio piuttosto che fare affidamento esclusivamente sulle estensioni del browser, lo sviluppatore non è speranza quando si tratta di vera risoluzione del problema.
“Forse Kaspersky è così attaccato a script iniettato direttamente nelle pagine web, perché questi sono considerati un segno distintivo del loro prodotto, essendo in grado di fare il suo lavoro, anche se gli utenti di rifiutare installare estensioni,” lo sviluppatore dice. “Ma che presentano anche un rischio per la sicurezza e non sembra essere riparabile.”
“Una cosa non cambia, tuttavia, i siti web possono ancora inviare i comandi per applicazioni Kaspersky. È di tutte le funzionalità che possono innescare ci innocuo? Non avrei scommesso su di esso.”
CNET: Membro del gruppo dietro a Jack Dorsey di Twitter account hack riferito arrestato
Aggiornamento 14.14 GMT: UNA Kaspersky portavoce ha detto a ZDNet:
“Kaspersky ha risolto i problemi di sicurezza nel web componente di protezione nei suoi prodotti e le estensioni per Google Chrome. Questi problemi di sicurezza sono stati risolti dalla patch 2019 I, J e il 2020, E, F, che sono stati consegnati agli utenti tramite l’aggiornamento automatico delle procedure.
Potrebbe essere necessario un riavvio per applicare questi aggiornamenti.
L’azienda, inoltre, consiglia agli utenti di assicurarsi che la protezione Kaspersky estensioni per i browser web sono installato e attivato. Informazioni dettagliate sui problemi risolti è disponibile sul sito web di Kaspersky.”
Precedente e relativa copertura
Assistenza sanitaria di avvio dirigenti in carica più di $1 miliardo di truffa
Samsung Heavy Industries pagare $75 milioni di euro per stabilirsi caso di corruzione
Nuovo SectopRAT Trojan crea nascosto seconda desktop per controllare le sessioni del browser
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 26 novembre 2019 — 13:38 GMT (13:38 GMT)
| Argomento: Sicurezza