An gano lahani da yawa waɗanda ke lalata abokan cinikin Matrix da yawa

DarkcriztAn sabunta

Babu sharhi

matrix yarjejeniya

Matrix ka'idar saƙon nan take buɗaɗɗe ne. An tsara shi don ba da damar masu amfani don sadarwa ta hanyar tattaunawa ta kan layi, murya akan IP, da kuma taɗi na bidiyo.

Kwanan nan masu haɓaka dandamali sadarwar da ba a daidaita bas «Matrix» fitar da wani gargadi game da iri-iri vulnerabilities da aka gano kuma suna da mahimmanci a cikin matrix-js-sdk, matrix-ios-sdk, da matrix-android-sdk2 dakunan karatu waɗanda ke ba da damar masu gudanar da uwar garken su kwaikwayi sauran masu amfani da karanta saƙonni daga ɓoyayyen taɗi na ƙarshe zuwa ƙarshe (E2EE).

An ambata cewa don kammala harin cikin nasara, dole ne a shiga sabar gida da maharan ke sarrafawa (Sabar gida: uwar garken don adana tarihin abokin ciniki da asusu). Amfani da ɓoyayyen ƙarshen-zuwa-ƙarshe a gefen abokin ciniki baya ƙyale mai sarrafa uwar garken ya shiga saƙon saƙon, amma raunin da aka gano yana ba da damar da za a iya kewaya wannan kariya.

Batutuwa suna shafar babban abokin ciniki na Element Matrix (tsohon Riot) don gidan yanar gizo, tebur, iOS, da Android, da kuma aikace-aikacen abokin ciniki na ɓangare na uku kamar Cinny, Beeper, SchildChat, Circuli, da Synod.im.

Rashin lahani ba ya bayyana a cikin ɗakunan karatu matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, da matrix-nio, da Hydrogen, ElementX, Nheko, FluffyChat, Siphon, Timmy, Gomuks, da aikace-aikacen Pantalaimon.

Lura cewa batutuwa masu tsanani sune batutuwan aiwatarwa a cikin matrix-js-sdk da abubuwan da aka samo asali, kuma ba batutuwan ƙa'ida ba ne a cikin Matrix. Sabuwar sigar takardan masu binciken da muka gani ba daidai ba ta siffanta Element a matsayin "abokin ciniki na Matrix" kuma yana rikitar da kurakuran aiwatarwa mafi girma tare da ƙananan zargi na yarjejeniya.

Akwai yanayi guda uku babban hari:

  1. Mai gudanar da uwar garken Matrix na iya karya tabbaci na tushen emoji (SAS, Gajerun Tabbatattun Sarƙoƙi) ta amfani da sa hannun giciye da yin kwaikwayon wani mai amfani. An haifar da batun ta hanyar rashin ƙarfi (CVE-2022-39250) a cikin lambar matrix-js-sdk mai alaƙa da haɗin sarrafa ID na na'ura da maɓallan sa hannu.
  2. Maharin da ke sarrafa uwar garken na iya yin kwaikwayon amintaccen mai aikawa kuma ya wuce maɓalli na karya don saƙon saƙon wasu masu amfani. Batun ya kasance saboda rauni a cikin matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), da matrix-android-sdk2 (CVE-2022-39248), wanda ya haifar. abokin ciniki yayi kuskuren karɓar saƙonnin da aka aika zuwa na'urori masu rufaffiyar ta amfani da ƙa'idar Megolm maimakon Olm, yana dangana saƙon ga mai aikawa Megolm maimakon ainihin mai aikawa.
  3. Ta hanyar yin amfani da raunin da aka ambata a cikin sakin layi na baya, mai gudanarwa na uwar garken zai iya ƙara maɓalli mai banƙyama zuwa asusun mai amfani don cire maɓallan da ake amfani da su don ɓoye saƙonni.

Masu binciken da suka gano raunin Hakanan an nuna harin da ke ƙara mai amfani na ɓangare na uku zuwa taɗi ko haɗa na'urar ɓangare na uku zuwa mai amfani. Hare-haren sun ta'allaka ne kan gaskiyar cewa saƙon sabis ɗin da ake amfani da shi don ƙara masu amfani a cikin hira ba su da alaƙa da maɓallan mahaliccin taɗi kuma mai gudanarwa na uwar garken na iya samar da su.

Masu haɓaka aikin Matrix sun rarraba waɗannan raunin a matsayin ƙananan, Tun da irin waɗannan magudi ba su da mahimmanci ga Matrix kuma kawai suna shafar abokan ciniki bisa ga ka'idar, amma wannan ba yana nufin cewa ba za su tafi ba tare da kulawa ba: idan an maye gurbin mai amfani, za a nuna shi a cikin jerin masu amfani da hira, kuma lokacin da aka kara. na'urar, za a nuna gargadi kuma za a sanya na'urar a matsayin wanda ba a tabbatar da shi ba (a wannan yanayin, nan da nan bayan ƙara na'urar da ba ta da izini, za ta fara karɓar maɓallan jama'a da ake bukata don warware saƙonnin.

Za ku lura cewa matrix-rust-sdk, hydrogen-sdk, da sauran tsararraki na XNUMX da na XNUMX SDK ba su shafe su da bugu a cikin tushen mahimman al'amura a nan. Wannan shi ne ainihin dalilin da ya sa muke aiki don maye gurbin SDK na ƙarni na farko tare da tsatsa, rubutattun aiwatar da tsatsa a cikin nau'i na matrix-rust-sdk, cikakke tare da ci gaba da binciken jama'a mai zaman kansa.

Ana haifar da lahani ta hanyar kwari a cikin aiwatar da mutum ɗaya na Matrix Protocol da ba matsalolin ƙa'idar kanta ba ce. A halin yanzu, aikin ya fitar da sabuntawa don SDKs masu matsala da wasu aikace-aikacen abokin ciniki da aka gina akan su.

A ƙarshe haka ne kuna sha'awar ƙarin sani game da shi, zaku iya bincika cikakkun bayanai a cikin bin hanyar haɗi.


Kasance na farko don yin sharhi

Bar tsokaci

Your email address ba za a buga. Bukata filayen suna alama da *

*

*

  1. Wanda ke da alhakin bayanan: Miguel Ángel Gatón
  2. Manufar bayanan: Sarrafa SPAM, sarrafa sharhi.
  3. Halacci: Yarda da yarda
  4. Sadarwar bayanan: Ba za a sanar da wasu bayanan ga wasu kamfanoni ba sai ta hanyar wajibcin doka.
  5. Ajiye bayanai: Bayanin yanar gizo wanda Occentus Networks (EU) suka dauki nauyi
  6. Hakkoki: A kowane lokaci zaka iyakance, dawo da share bayanan ka.