Security Week 51: баг в WordPress 5.0 и софте Logitech, фотоуязвимость Facebook
Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (новость). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.
Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (PDF). Чуть больше информации обо всех закрытых уязвимостях можно получить в блоге компании Wordfence.
У Facebook опять утекли данные. Или не утекли: на прошлой неделе компания рассказала (новость пост в блоге FB) о баге в API, который позволял сторонним приложениям получать доступ к фотографиям пользователей. Ошибка просуществовала с 13 по 25 сентября. В это время сторонние приложения, которым пользователи и так уже дали доступ к фотографиям на Facebook, могли обращаться вообще ко всем снимкам аккаунта. В нормальных условиях доступ дается только к фото, которые пользователь публикует у себя в хронике. В течение почти двух недель API было открыто для фото из историй, фотографий с барахолки и прочему. Самое печальное, что имелся доступ к приватным снимкам, причем даже к тем, которые пользователь вообще нигде не публиковал, но загружал в соцсеть.
Под раздачу попали 6,8 миллиона пользователей. После известных дискуссий о приватности данных, собираемых социальной сетью, каждая новость об очередной прорехе в системе безопасности привлекает большое внимание. Хотя в данном случае ничего сверхужасного не произошло: допустили баг, нашли, пофиксили. Предыдущая проблема с функцией просмотра страницы от имени другого пользователя была серьезнее. Как обычно, Facebook со своими уязвимостями не одинок: после обнаружения еще одной проблемы в Google+ эту несчастливую социальную сеть решили закрыть еще раньше, чем планировалось.
Исследователь Тавис Орманди из команды Google Project Zero опубликовал (новость, подробный отчет отчет) детали бага в утилите для работы с клавиатурами Logitech. Уязвимость в утилите Logitech Options обнаружили еще в сентябре, после чего производитель довольно долго устранял проблему. А проблема интересная. Вообще эта утилита позволяет переназначать кнопки на клавиатуре по желанию пользователя, и довольно неожиданно было найти там вектор атаки. Он, тем не менее, существует: приложение слушает команды на определенном порте TCP и вообще не проверяет, откуда они пришли.
Таким образом, появляется возможность удаленного управления утилитой с помощью подготовленной веб-страницы. Похожая проблема (правда, чуть более простая в эксплуатации) в свое время массово наблюдалась у роутеров: их можно было удаленно администрировать без ведома пользователя, открывающего страницу в браузере. Через незакрытый сетевой интерфейс можно менять настройки программы, а также передавать произвольные последовательности символов от имени клавиатуры, что теоретически можно использовать для получения контроля над системой.
Утилита по умолчанию запускается при загрузке системы, что делает проблему еще серьезнее. Исследователь опубликовал информацию по истечении установленного дедлайна, 11 декабря. Через два после этого Logitech выпустила обновленную версию программы, которая вроде бы закрывает уязвимость. Впрочем, с этим утверждением согласны не все.
Please elaborate on how you fixed the issue. Just saying «yeah we fixed it» is not very convincing at this point.
— Cthulhu Kimallus (@CthulhuKimallus) December 15, 2018
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.