Oracle文件处理SDK中的缺陷会影响主要的第三方产品
由Oracle周二修复的276个缺陷中的17个高风险漏洞影响来自第三方软件供应商的产品,包括微软。
来自思科的Talos团队的研究人员发现的漏洞,位于技术(OIT)之外的Oracle,一系列软件开发套件(SDK),可用于提取,正常化,擦洗,转换和查看约600非结构化文件格式。
这些是Oracle Fusion中间件的一部分的SDK,许可用于其他软件开发人员,然后在自己的产品中使用它们。此类产品包括Microsoft Exchange,Novell GroupWise,IBM WebSphere Portal,Google搜索设备,Exchange,Raytheon SureView,Guidance Chegase和Veritas Enterprise Vault的Avira AntiVir。
Oracle没有列出受影响的第三方产品。但是,Cert协调中心的咨询中心在1月份修补的Oracle OIT中有几种类似漏洞的咨询附带了许多大型软件供应商的长期受影响的产品列表。
目前尚不清楚这些产品中有多少也受到新修补的十七漏洞的影响,因为其中一些可能不会使用所有易受攻击的SDK或者可能包括其他限制因素。
Oracle在普通漏洞评分系统(CVSS)中分配了8.6的分数,这意味着高度严重程度。但是,根据假设受影响的软件通过网络通过直接接收到易受攻击的oit代码的数据来计算得分,这可能不会发生在所有情况下。
如果这是真的,攻击者可以通过使用易受攻击的oit sdks将专为应用程序发送专为应用程序来利用缺陷来在系统上执行流氓代码。
思科研究人员确认,如果启用Webready文档查看,Microsoft Exchange服务器(版本2013及更早版本)会受到影响。根据Microsoft文档,此功能可让用户在Outlook Web App Web浏览器中查看常用文件类型.doc,.pdf,.ppt和.xls。
“思科Talos研究人员在博客帖子中说:”攻击者可以通过向受害者发送恶意电子邮件附件来利用这些漏洞。“此外,如果启用了数据丢失,则可以通过从受影响的Exchange Server发送出站出站的恶意附件出站的电子邮件来触发该漏洞。”
如果Microsoft Exchange Server还安装了Avira AntiVir for Exchange,则只需在没有受害者的情况下发送特殊制作的电子邮件即可开放漏洞即可利用该漏洞。这是因为这个防病毒程序也使用易受攻击的oit sdks并自动扫描所有传入和传出的电子邮件。
文件格式可能非常复杂,并且在没有适当的验证的情况下,在历史上是在各种应用程序中的远程代码执行漏洞的源。可以理解的是,许多软件开发人员依赖于解析文件和数据格式的第三方SDK和库,而不是实现此类功能本身,这是一个值得耗时和容易出错的任务。
“然而,不幸的现实是,在第三方使用的SDK中发现的漏洞将需要额外的时间来修补:首先,维护SDK问题的组织,思科研究人员表示,“利用SDK的第三方为其客户提供了更多的时间,为他们的客户提供更新,”思科研究人员表示。“这提供了一个相当大的时间窗口,其中歹徒可以利用第三方产品中的漏洞。”
在超过80%的任何新的软件应用程序中由第三方代码组成时,跟踪外部库中的漏洞非常重要。遗憾的是,研究表明,许多软件开发人员不仅在此任务中失败,而且甚至没有清晰的图片,他们在其中应用了它们的第三方组件。