Нов инструмент откри над 100 уязвимости в офисни приложения

Изследователи по сигурността са разработили инструмент за сканиране на популярния офис софтуер за уязвимости в сигурността и вече са открили повече от 100 такива в Microsoft Word, Adobe Acrobat и Foxit Reader.

Инструментът, известен като Cooper, подхожда към сканирането на уязвимости, като разглежда начина, по който офис софтуерът интегрира езици за програмиране като JavaScript и Python, за да изпълнява автоматизирани функции като манипулиране на файлове.

Изследването, в съавторство на Пенг Шу, Янхао Уонг, Хонг Ху и Пуруи Су от Училището по киберсигурност към Университета на Китайската академия на науките, представи инструмента и подчертава уязвимостите, причинени от взаимодействието на езици на високо и ниско ниво. .

В изследователска статия, описваща подробно инструмента  Cooper, изследователите казват, че е необходим „свързващ слой“, за да преведе по същество действията на скрипта, написани на езици от високо ниво като JavaScript и Python, в код, който може да бъде интерпретиран от езици от ниско ниво. (C/C++), използван за внедряване на действията на скрипта в самия софтуер.

Този свързващ слой е склонен да създава непоследователни представяния на скриптовете и понякога може също да пренебрегне важни проверки за сигурност, което води до откриване на „сериозни уязвимости в сигурността“ на софтуера.

След като стартираха Cooper на Adobe Acrobat, Microsoft Word и Foxit Reader, изследователите успяха да намерят общо 134 нови грешки – 60 за Adobe Acrobat, 56 в Foxit Reader и 18 в Microsoft Word.

Повечето от грешките, открити от Cooper като част от изследването (103), са потвърдени и 59 от тях вече са отстранени, което дава на изследователите 22 000 долара награди за открити бъгове.

Издадени са и общо 33 CVE (официални, проследими кодове за уязвимост), включително CVE-2021-21028 и CVE-2021-21035 – двойка грешки в Adobe Acrobat, всяка с оценка 8,8 по скалата за сериозност на CVSSv3.

Изследователите са използвали fuzzing, за да тестват за уязвимости в програмите – техника, която обикновено се използва в такива изследвания и включва произволно генериране на голям брой входове, които се подават в програмата, за да се подчертаят поведенческите аномалии, казаха авторите на изследването.

Имаше ограничения за използването на техниката и изследователите разработиха „нови техники“: групиране на обекти, извод за статистически взаимоотношения и мутация, ръководена от връзката, за да се справят с тях. Ограниченията на размиването се крият в начина, по който той изследва мутацията на кода.

Fuzzing е едноизмерен, тъй като модифицира изрази само от кода на високо ниво, но обвързващите оператори получават входни данни от две измерения – кода на високо ниво в скриптовете и кода на ниско ниво в основната система. Това ограничение означава, че всяка грешка в кода за свързване не може да бъде открита само в едно измерение.

Това беше доказано от изследователите, които също използваха съществуващия Domato JavaScript fuzzer в експеримента, който откри значително по-малко грешки от Cooper. Изследователите планират да пуснат отворения код за Cooper чрез своята страница в GitHub, така че общността да може да помогне за изграждането му и допълнително да подобри сигурността на свързващите слоеве.

Източник: По материали от Интернет

Подобни публикации

28 септември 2022

Украйна предупреждава за задаващи се руски кибе...

Украинското военно разузнаване предупреди днес, че Русия планира &#...
28 септември 2022

Microsoft ще оттегли правилата за клиентски дос...

Microsoft обяви днес, че ще оттегли правилата за клиентски достъп (...
27 септември 2022

Meta ликвидира руска мрежа, която фалшифицира ...

Meta разкри, че е премахнала широка мрежа от акаунти във Facebook и...
27 септември 2022

Нова кибератака чрез Messenger на Meta

Киберпрестъпниците са неуморни в търсенето на нови и по-сложни изма...
24 септември 2022

Как да изтриете твърд диск в 4 стъпки

Може да си мислите, че кaто изтриете вашите файлове и ги преместите...
24 септември 2022

Рисковано ли е да уволниш CS екипа

Какво, за бога, си мислеха? Това е, което ние – и други експерти по...
23 септември 2022

Путин освободи от мобилизация IT - специалистите

Руското министерство на отбраната публикува списък на сферите, чиит...
22 септември 2022

Изследователи разкриха дългогодишна шпионска к...

Откриха нова вълна от кампания за мобилно наблюдение, насочена към ...
Бъдете социални
Още по темата
24/09/2022

Рисковано ли е да уволниш C...

Какво, за бога, си мислеха? Това...
03/09/2022

EPP - EDR - XDR: Сравнение

Сигурността на крайните точки се развива...
01/09/2022

Слага ли TikTok край на гос...

TikTok се утвърди като една от...
Последно добавени
28/09/2022

Украйна предупреждава за за...

Украинското военно разузнаване предупреди днес, че...
28/09/2022

Microsoft ще оттегли правил...

Microsoft обяви днес, че ще оттегли...
27/09/2022

Meta ликвидира руска мрежа...

Meta разкри, че е премахнала широка...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!