Все версии HTML-редактора, используемого в ряде продуктов Microsoft, включая ASP.NET, подвержены опасной XSS-уязвимости, которая открывает возможность для внедрения вредоносных скриптов и сбора конфиденциальной информации.

RadEditor — это веб-редактор режима точного отображения (WYSIWYG), поставляемый болгарской компанией Telerik. Он поддерживает ввод форматированного текста и в разной степени используется в таких продуктах Microsoft, как MSDN, CodePlex, TechNet и MCMS, а также в некоторых реализациях Sharepoint и ASP.NET. Данная XSS-брешь в RadEditor была обнаружена в минувшем июле ИБ-исследователем Джи-Эс Макнамарой (G.S. McNamara), который на прошлой неделе посвятил ей отдельную запись в своем блоге.

В ответ на запрос Threatpost Макнамара пояснил: «Технически это можно описать как огромную дыру там, где должна быть слаженная работа защитных фильтров, проверяющих вводимые значения».

«Это к тому же тайный убийца, так как эту дыру не смог обнаружить как минимум один коммерческий пен-тестер», — добавил исследователь.

Уязвимость CVE-2014-4958 вида «отсутствие фильтрации атрибутов событий» была найдена в версии 2009.3.1208.20, работавшей с Internet Explorer, а также в RadEditor 2014 года выпуска, однако Макнамара полагает, что она может присутствовать и в более ранних версиях этого редактора.

«Я просто доверился своему чутью и искал ее одержимо, вручную», — признался исследователь в ответном письме Threatpost. После первой находки он вступил в переписку с компанией-производителем, однако добился положительного отклика лишь через два месяца.

В ответ на обращение Макнамары служба техподдержки Telerik вначале заявила, что ошибка уже исправлена. Исследователь настаивал на ее присутствии и выслал PoC-эксплойт, но даже этого оказалось недостаточно, чтобы привлечь внимание кого-нибудь из безопасников компании. В конце августа Макнамара решил задействовать неофициальные каналы и отправил личное письмо на Gmail-адрес одного из сотрудников Telerik. В итоге воз стронулся с места.

В начале сентября исследователь и компания договорились о сроках раскрытия уязвимости. После этого вновь наступила тишина. Две недели Макнамара, по его словам, звонил, писал, пытался выйти на руководство и, не получая отклика, наконец решил огласить свою находку самостоятельно. И тут совершенно неожиданно появляется публикация в блоге Telerik с признанием наличия проблемы.

«Решить все цивилизованными методами оказалось неимоверно трудно», — сетует исследователь, считая, что главная причина проволочки заключалась в нежелании нести ответственность. «Это технологический продукт, продаваемый разработчикам другой технологической продукции, и Telerik хочет разделить с ними ответственность за его безопасность, — высказал предположение Макнамара. — А разработчики, вероятно, об этом и не знают».

В своем блоге Telerik отдает должное исследователю, но настаивает на том, что «организация надлежащей проверки контента является непреложным долгом разработчика приложений». Компания планирует выпустить соответствующий патч после октябрьского обновления RadEditor, а пока настоятельно советует юзерам воспользоваться временным решением.

Категории: Уязвимости