Fuarthas leochaileachtaí i bhformhór na gcliant Maitrís

Le déanaí scaoileadh an nuacht gur aithníodh leochaileachtaí (CVE-2021-40823, CVE-2021-40824) i bhformhór na bhfeidhmchlár cliant don ardán cumarsáide díláraithe Maitrís, a cheadaíonn faisnéis a fháil faoi na heochracha a úsáidtear chun teachtaireachtaí a aistriú i gcomhráite criptithe ó dheireadh go deireadh (E2EE).

Ionsaitheoir a chuir duine de na húsáideoirí i gcontúirt ón gcomhrá in ann teachtaireachtaí a seoladh roimhe seo a dhíchriptiú don úsáideoir seo ó fheidhmchláir leochaileacha cliant. Éilíonn oibriú rathúil rochtain ar chuntas fhaighteoir na teachtaireachta agus is féidir rochtain a fháil trí sceitheadh ​​paraiméadair an chuntais agus trí hacking an freastalaí Maitrís trína nascann an t-úsáideoir.

Luaitear go tá na leochaileachtaí is contúirtí d’úsáideoirí seomraí comhrá criptithe a bhfuil freastalaithe Maitrís faoi rialú ionsaitheoirí ceangailte leo. Féadfaidh riarthóirí freastalaithe den sórt sin iarracht a dhéanamh aithris a dhéanamh ar úsáideoirí an fhreastalaí chun teachtaireachtaí a sheoltar chun comhrá a dhéanamh ó fheidhmchláir leochaileacha cliant.

Leochaileachtaí earráidí loighciúla is cúis le cur chun feidhme na meicníochta chun ath-rochtain ar eochracha a dheonú moltaí sna cliaint éagsúla a braitheadh. Níl cur chun feidhme bunaithe ar na leabharlanna maitrís-ios-sdk, matrix-nio, agus libolm leochaileach ó leochaileachtaí.

Dá bhrí sin, bíonn leochaileachtaí le feiceáil i ngach iarratas a fuair an cód fadhbanna ar iasacht y ní dhéanann siad difear díreach do phrótacail Maitrís agus Olm / Megolm.

Go sonrach, bíonn tionchar ag an gceist ar chroíchliant Element Matrix (Riot roimhe seo) don ngréasán, deasc, agus Android, chomh maith le feidhmchláir agus leabharlanna cliant tríú páirtí, mar FluffyChat, Nheko, Cinny, agus SchildiChat. Níl an fhadhb le feiceáil sa chliant oifigiúil iOS, ná sna feidhmchláir Chatty, Hidrigin, mautrix, maitrís corcra agus Siphon.

Tá leaganacha paiste na gcliant lena mbaineann ar fáil anois; mar sin iarrtar go ndéanfaí é a nuashonrú a luaithe is féidir agus gabhaimid leithscéal as an míchaoithiúlacht. Mura féidir leat uasghrádú a dhéanamh, smaoinigh ar chliaint leochaileacha a choinneáil as líne go dtí gur féidir leat. Má tá cliaint leochaileacha as líne, ní féidir iad a mhealladh chun na heochracha a nochtadh. D’fhéadfadh siad a bheith ar ais go sábháilte ar líne nuair a dhéantar iad a nuashonrú.

Ar an drochuair, tá sé deacair nó dodhéanta cásanna den ionsaí seo a aithint go cúlghníomhach le leibhéil chaighdeánacha logála i láthair na gcliant agus na bhfreastalaithe araon. Mar sin féin, ós rud é go n-éilíonn an t-ionsaí an cuntas a chur i mbaol, b’fhéidir gur mhaith le riarthóirí freastalaí baile a gcuid lomán fíordheimhnithe a athbhreithniú le haghaidh aon chomharthaí de rochtain mhíchuí.

Ligeann an phríomh-mheicníocht malairte, a bhfuarthas leochaileachtaí ina cur i bhfeidhm, do chliant nach bhfuil na heochracha aige teachtaireacht a dhíchriptiú chun eochracha a iarraidh ó ghléas an tseoltóra nó ó ghléasanna eile.

Mar shampla, tá an cumas seo riachtanach chun díchriptiú sean-theachtaireachtaí ar ghléas nua an úsáideora a chinntiú nó má chailleann an t-úsáideoir na heochracha atá ann cheana. Forordaíonn an tsonraíocht prótacail de réir réamhshocraithe gan freagra a thabhairt ar phríomhiarrataí agus gan iad a sheoladh go huathoibríoch ach chuig gairis fíoraithe an úsáideora chéanna. Ar an drochuair, i gcur chun feidhme praiticiúil, níor comhlíonadh an riachtanas seo agus próiseáladh iarratais chun eochracha a sheoladh gan sainaithint cheart feiste.

Aithníodh na leochaileachtaí le linn iniúchta slándála ar chliant Element. Tá na socruithe ar fáil anois do gach custaiméir trioblóideacha. Moltar d’úsáideoirí nuashonruithe a shuiteáil go práinneach agus cliaint a dhícheangal sula ndéantar an nuashonrú a shuiteáil.

Ní raibh aon fhianaise ann go mbainfí leas as an leochaileacht sular scaoileadh an t-athbhreithniú. Tá sé dodhéanta ionsaí a chinneadh trí logaí caighdeánacha cliant agus freastalaí a úsáid, ach ós rud é go n-éilíonn an t-ionsaí an cuntas a chur i mbaol, is féidir le riarthóirí anailís a dhéanamh ar láithreacht logáil isteach amhrasach trí na logaí fíordheimhnithe ar a bhfreastalaithe a úsáid, agus is féidir leis na húsáideoirí liosta na gairis atá nasctha lena gcuntas le haghaidh athnasc le déanaí agus athruithe ar stádas iontaobhais.

Fuente: https://matrix.org


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.