Security Week 51: баг в WordPress 5.0 и софте Logitech, фотоуязвимость Facebook

    Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (новость). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.

    Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (PDF). Чуть больше информации обо всех закрытых уязвимостях можно получить в блоге компании Wordfence.

    У Facebook опять утекли данные. Или не утекли: на прошлой неделе компания рассказала (новость пост в блоге FB) о баге в API, который позволял сторонним приложениям получать доступ к фотографиям пользователей. Ошибка просуществовала с 13 по 25 сентября. В это время сторонние приложения, которым пользователи и так уже дали доступ к фотографиям на Facebook, могли обращаться вообще ко всем снимкам аккаунта. В нормальных условиях доступ дается только к фото, которые пользователь публикует у себя в хронике. В течение почти двух недель API было открыто для фото из историй, фотографий с барахолки и прочему. Самое печальное, что имелся доступ к приватным снимкам, причем даже к тем, которые пользователь вообще нигде не публиковал, но загружал в соцсеть.

    Под раздачу попали 6,8 миллиона пользователей. После известных дискуссий о приватности данных, собираемых социальной сетью, каждая новость об очередной прорехе в системе безопасности привлекает большое внимание. Хотя в данном случае ничего сверхужасного не произошло: допустили баг, нашли, пофиксили. Предыдущая проблема с функцией просмотра страницы от имени другого пользователя была серьезнее. Как обычно, Facebook со своими уязвимостями не одинок: после обнаружения еще одной проблемы в Google+ эту несчастливую социальную сеть решили закрыть еще раньше, чем планировалось.

    Исследователь Тавис Орманди из команды Google Project Zero опубликовал (новость, подробный отчет) детали бага в утилите для работы с клавиатурами Logitech. Уязвимость в утилите Logitech Options обнаружили еще в сентябре, после чего производитель довольно долго устранял проблему. А проблема интересная. Вообще эта утилита позволяет переназначать кнопки на клавиатуре по желанию пользователя, и довольно неожиданно было найти там вектор атаки. Он, тем не менее, существует: приложение слушает команды на определенном порте TCP и вообще не проверяет, откуда они пришли.

    Таким образом, появляется возможность удаленного управления утилитой с помощью подготовленной веб-страницы. Похожая проблема (правда, чуть более простая в эксплуатации) в свое время массово наблюдалась у роутеров: их можно было удаленно администрировать без ведома пользователя, открывающего страницу в браузере. Через незакрытый сетевой интерфейс можно менять настройки программы, а также передавать произвольные последовательности символов от имени клавиатуры, что теоретически можно использовать для получения контроля над системой.

    Утилита по умолчанию запускается при загрузке системы, что делает проблему еще серьезнее. Исследователь опубликовал информацию по истечении установленного дедлайна, 11 декабря. Через два после этого Logitech выпустила обновленную версию программы, которая вроде бы закрывает уязвимость. Впрочем, с этим утверждением согласны не все.

    Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
    «Лаборатория Касперского»
    526,00
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 6

      +2
      Вопрос в пространство: НАФИГА программе, работающей с локальной клавиатурой, TCP-сервер?
        0
        Может GUI с сервисом по TCP общаются.
          +2
          Не сервер, а листнер. Для доты и кс, у них есть протоколы что позволяют получить немного инфы об игре не залезая куда не надо в оперативке, а слушая jsonчик в порт. В частности клавиатура светится светом твоей команды и показывает твоих хп зеленой полоской на ряду F-клавиш. Там вроде еще что-то есть, но пока ручки не добрались.
            0
            Вообще, сервер-листнер разницы не так и много, разве что сервер что-то отдает наружу, а листнер может и не отдавать (а-ля SNMP-trap). Однако инфа интересная, пусть и непонятно, зачем TCP-стек использовать, можно же named pipes/sockets, например, локальное же взаимодействие.
              0
              Потому что их использует valve, именно они на ip в порт кидают json. У них TCP стек для взаимодействий в том числе с удаленными машинами.

              Кстати еще в логитеке есть ARX control. Раньше у них были клавы с дисплеем, а теперь у всех есть телефоны и решили использовать экран телефона. Так вот, этот телефон по вафле тоже может делать много чего интересного, но там вроде как есть авторизация и какая-то защита.

              Мое оценочное мнение, софт на встроенном экранчике был лучше, теперь нельзя посмотреть что за музыка у тебя играет (видимо все слушают с браузера и это уже не актуально).
          +1
          Самое печальное, что имелся доступ к приватным снимкам, причем даже к тем, которые пользователь вообще нигде не публиковал, но загружал в соцсеть.
          Это не он ли некоторое время назад предлагал в качестве защиты от мести путём выкладывания палевных фотографий закачиваеть их ему привентивно, чтобы он мог их опознать и запретить? О_о

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое