安全研究人员警告不要运行PlingStore电子或访问受影响的网站beplay体育能用吗
OpenDesktop中的一对严重的零日漏洞可能会导致远程代码执行(RCE)和供应链攻击基于平台的Linux市场。
在未能引起项目维护者的回应之后,总部位于柏林Infosec公司积极安全的安全研究人员披露了缺陷为了警告用户威胁。
受影响的基于固执的应用商店包括appimagehub.com,store.kde.org,gnome-look.org,xfce-look.org和pling.com。
固定店是针对OCS兼容网站的安装程序和内容管理应用程序,允许在台式机环境(例如KDE等离子体,GNOME和XFCE)中安装桌面和图beplay体育能用吗标主题,壁纸和鼠标光标。
‘xss by Design’
叙述了他如何发现这些缺陷的方式,正面安全的安全研究人员兼董事总经理FabianBräunlein表示,在测试KDE Discover App Store的统一资源标识符(URI)处理时,他偶然发现了一个领域,使用户可以将媒体嵌入列表中。他说,该领域“看起来像XSS设计”。
添加一个iframe,然后是恶意JavaScript在单独的行中有效载荷创建了存储的XSS“这可以用来修改活动列表,或在其他用户的背景下在盘式商店中发布新列表,从而导致蠕动的XSS”。
他说,这将允许进行供应链攻击,从而在该供应链上上传了一个背包的软件版本,该版本会更改受害者列表的元数据,以包括恶意有效负载。
“这XSS非常容易利用。绕过任何保护或过滤都是微不足道的。每日swbeplay2018官网ig。“当有人访问清单时,仅触发存储的XSS - 不需要用户互动。”
RCE利用
同时,Bräunlein发现,本机plingstore应用程序受到RCE该应用程序在后台运行时,可以从任何网站触发的漏洞。beplay体育能用吗
“在开始时,PlingStore Electron应用程序还启动了一个组件,该组件在命令的本地插座上倾听。没有检查命令是否真的来自电子应用程序,因此任何网站都可以通过启动Websocket连接发送此类命令。”他说。beplay体育能用吗
“由于此组件也用于安装应用程序,因此某些命令允许下载和执行二进制文件。”
时间线
披露过程并未顺利进行 - 的确,Bräunlein将其描述为“令人惊讶和令人失望”。
他首先通过发送给OpenDesktop的电子邮件于2月24日报告了该问题,并反复进行了更多电子邮件,电话,论坛帖子(现已锁定)以及Pling的聊天服务。
6月18日,他没有收到任何回应,警告了项目维护者,其中几条接触线将公开公开,最终于6月22日这样做。
每日swbeplay2018官网ig还与OpenDesktop的维护者联系以备于评论,并将在答复时更新此故事。
Bräunlein建议用户不要运行PlingStore Electron应用程序 - 或更好的是删除附属文件 - 除非且直到RCE修复为止。
而且,由于在受影响的商店上的任何列表都能通过XSS劫持该平台上的帐户,因此可能会损害任何可下载的资产,因此,最好建议您的网站用户登录其帐户并远离域名,除非解决问题。beplay体育能用吗。
