বার্লিন থেকে একটি সূচনা রিমোট কোড প্রয়োগের দুর্বলতা প্রকাশ করেছে (আরসিই) এবং একটি ক্রস-সাইট স্ক্রিপ্ট (এক্সএসএস) ত্রুটি প্লিংয়ে, যা এই প্ল্যাটফর্মে নির্মিত বিভিন্ন অ্যাপ্লিকেশন ক্যাটালগগুলিতে ব্যবহৃত হয় এবং যা জাভাস্ক্রিপ্ট কোডটিকে অন্য ব্যবহারকারীর প্রসঙ্গে চালানো যেতে পারে। ক্ষতিগ্রস্থ সাইটগুলি কয়েকটি মূল ফ্রি সফটওয়্যার অ্যাপ্লিকেশন ক্যাটালগ যেমন store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com হিসাবে অন্যদের মধ্যে রয়েছে।
ইতিবাচক সুরক্ষা, যা গর্তগুলি খুঁজে পেয়েছিল, বলেছিল যে প্লেিং কোডটিতে বাগগুলি এখনও উপস্থিত রয়েছে এবং এর রক্ষণাবেক্ষণকারীরা দুর্বলতার প্রতিবেদনে সাড়া দেয়নি।
এই বছরের শুরুর দিকে, আমরা কীভাবে জনপ্রিয় ডেস্কটপ অ্যাপ্লিকেশনগুলি ব্যবহারকারী দ্বারা সরবরাহিত ইউআরআই পরিচালনা করে এবং সেগুলির বেশ কয়েকটিতে কোড প্রয়োগের দুর্বলতাগুলি পেয়েছি তা আমরা দেখেছি। আমি যে অ্যাপ্লিকেশনগুলি চেক করেছি তার মধ্যে একটি হ'ল কেডিআই ডিসকভার অ্যাপ স্টোর, যা অনাস্থাবিহীন ইউআরআইগুলিকে একটি নিরাপত্তাহীন উপায়ে পরিচালনা করতে পারে (সিভিই -2021-28117, কে ডি সুরক্ষা পরামর্শ)।
পথে, আমি দ্রুত অন্যান্য ফ্রি সফটওয়্যার বাজারে আরও বেশ কয়েকটি গুরুতর দুর্বলতা পেয়েছি।
প্লিং-ভিত্তিক বাজারগুলিতে সাপ্লাই চেইনের আক্রমণগুলির সম্ভাবনা সহ একটি উদ্বেগযুক্ত এক্সএসএস এবং ড্রাইভিং আরসিই প্লিংস্টোর অ্যাপ্লিকেশন ব্যবহারকারীদের প্রভাবিত করে এখনও ব্যবহার করা যেতে পারে।
প্লিং ক্রিয়েটিভ থিম এবং গ্রাফিক্স আপলোড করার জন্য নিজেকে বাজার হিসাবে উপস্থাপন করে লিনাক্স ডেস্কটপ, অন্যান্য জিনিসগুলির সাথে, সমর্থকদের কাছ থেকে কিছু লাভের আশায়। এটি দুটি অংশে আসে: কোডটি তাদের নিজস্ব বুলিং বাজার চালানোর জন্য প্রয়োজন এবং একটি ইলেক্ট্রন ভিত্তিক অ্যাপ্লিকেশন যা ব্যবহারকারীরা তাদের থিমগুলি একটি প্লিং সুক থেকে পরিচালনা করতে ইনস্টল করতে পারেন। ওয়েব কোডে এক্সএসএস এবং ক্লায়েন্টের এক্সএসএস এবং একটি আরসিই রয়েছে। পলিং pling.com এবং store.kde.org থেকে gnome-look.org এবং xfce-look.org এ বেশ কয়েকটি সাইটকে শক্তি দেয়।
সমস্যার সারমর্ম যে প্ল্যাটফর্ম হয় প্লিংটি এইচটিএমএল ফর্ম্যাটে মাল্টিমিডিয়া ব্লক যুক্ত করার অনুমতি দেয়, উদাহরণস্বরূপ, একটি ইউটিউব ভিডিও বা চিত্র সন্নিবেশ করতে। ফর্মের মাধ্যমে যুক্ত কোডটি বৈধ নয় সঠিকভাবে, কি আপনাকে একটি চিত্রের ছদ্মবেশে দূষিত কোড যুক্ত করতে দেয় এবং জাভাস্ক্রিপ্ট কোডটি যখন দেখানো হয় তখন কার্যকর করা হবে এমন ডিরেক্টরিতে তথ্য রাখুন। যদি কোনও অ্যাকাউন্ট রয়েছে এমন ব্যবহারকারীদের জন্য তথ্যটি খোলা হবে, তবে তাদের পৃষ্ঠাগুলিতে একটি জাভাস্ক্রিপ্ট কল যুক্ত করা, এক ধরণের নেটওয়ার্ক কীট বাস্তবায়ন সহ এই ব্যবহারকারীর পক্ষে ডিরেক্টরিতে ক্রিয়াকলাপ শুরু করা সম্ভব।
উপরন্তু, প্লিংস্টোর অ্যাপ্লিকেশনটিতে একটি দুর্বলতা চিহ্নিত করা হয়েছে, ইলেক্ট্রন প্ল্যাটফর্ম ব্যবহার করে লেখা এবং আপনাকে ব্রাউজার ছাড়াই ওপেনডেস্কটপ ডিরেক্টরিতে নেভিগেট করতে এবং সেখানে উপস্থাপিত প্যাকেজগুলি ইনস্টল করার অনুমতি দেয়। প্লিংস্টোরের একটি দুর্বলতা তার কোডটিকে ব্যবহারকারীর সিস্টেমে চালানোর অনুমতি দেয়।
প্লিংস্টোর অ্যাপ্লিকেশন চলাকালীন, ocs- ম্যানেজার প্রক্রিয়াটি অতিরিক্তভাবে শুরু হয়, ওয়েবস্কটের মাধ্যমে স্থানীয় সংযোগ গ্রহণ করা এবং অ্যাপ্লিকেশন বিন্যাসে অ্যাপ্লিকেশনগুলি লোড করা এবং চালু করার মতো আদেশগুলি কার্যকর করা uting। কমান্ডগুলি প্লিংস্টোর অ্যাপ্লিকেশন দ্বারা প্রেরণ করা হবে বলে মনে করা হয়, কিন্তু সত্যিকার অর্থে প্রমাণীকরণের অভাবে ব্যবহারকারীর ব্রাউজার থেকে ocs- পরিচালকের কাছে একটি অনুরোধ প্রেরণ করা যেতে পারে। যদি কোনও ব্যবহারকারী কোনও দূষিত সাইট খোলেন, তারা ocs- পরিচালকের সাথে একটি সংযোগ শুরু করতে পারে এবং ব্যবহারকারীর সিস্টেমে কোড চালাতে পারে।
এক্সটিএসএস দুর্বলতার কথা এক্সটেনশনস.গনোম.অর্গ ডিরেক্টরিতেও প্রতিবেদন করা হয়; প্লাগইন হোম পৃষ্ঠার ইউআরএল সহ ফিল্ডে, আপনি "জাভাস্ক্রিপ্ট: কোড" ফর্ম্যাটে একটি জাভাস্ক্রিপ্ট কোড নির্দিষ্ট করতে পারেন এবং আপনি লিঙ্কটি ক্লিক করলে, প্রকল্পের সাইটটি খোলার পরিবর্তে নির্দিষ্ট জাভাস্ক্রিপ্ট চালু করা হবে।
একদিকে, সমস্যা আরও অনুমানমূলক, যেহেতু এক্সটেনশানস.গনোম.অর্গ ডিরেক্টরিতে অবস্থানটি নিয়ন্ত্রণ করা হচ্ছে এবং আক্রমণটির জন্য কেবল একটি নির্দিষ্ট পৃষ্ঠা খোলার দরকার নেই, তবে লিঙ্কটিতে একটি স্পষ্ট ক্লিকও রয়েছে। অন্যদিকে, যাচাইকরণের সময়, মডারেটর প্রকল্পের সাইটে যেতে, লিঙ্ক ফর্মটি উপেক্ষা করতে এবং তাদের অ্যাকাউন্টের প্রসঙ্গে জাভাস্ক্রিপ্ট কোড চালাতে চাইতে পারে।
অবশেষে, আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন তবে আপনি পরামর্শ নিতে পারেন নিম্নলিখিত লিঙ্কে বিশদ।