ಇತ್ತೀಚೆಗೆ ನ್ಯೂನತೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ ಎಂದು ಸುದ್ದಿ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ (ಸಿವಿಇ -2021-40823, ಸಿವಿಇ -2021-40824) ಹೆಚ್ಚಿನ ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ವಿಕೇಂದ್ರೀಕೃತ ಸಂವಹನ ವೇದಿಕೆಗಾಗಿ ಮ್ಯಾಟ್ರಿಕ್ಸ್, ಎಂಡ್-ಟು-ಎಂಡ್ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಚಾಟ್ಗಳಲ್ಲಿ (E2EE) ಸಂದೇಶಗಳನ್ನು ವರ್ಗಾಯಿಸಲು ಬಳಸುವ ಕೀಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲು ಇದು ಅನುಮತಿಸುತ್ತದೆ.
ಬಳಕೆದಾರರಲ್ಲಿ ಒಬ್ಬರನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಆಕ್ರಮಣಕಾರ ಚಾಟ್ನಿಂದ ಹಿಂದೆ ಕಳುಹಿಸಿದ ಸಂದೇಶಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಬಹುದು ದುರ್ಬಲ ಗ್ರಾಹಕ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಈ ಬಳಕೆದಾರರಿಗೆ. ಯಶಸ್ವಿ ಕಾರ್ಯಾಚರಣೆಗೆ ಸಂದೇಶ ಸ್ವೀಕರಿಸುವವರ ಖಾತೆಗೆ ಪ್ರವೇಶದ ಅಗತ್ಯವಿದೆ ಮತ್ತು ಖಾತೆ ಪ್ಯಾರಾಮೀಟರ್ಗಳ ಸೋರಿಕೆಯ ಮೂಲಕ ಮತ್ತು ಬಳಕೆದಾರರು ಸಂಪರ್ಕಿಸುವ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಸರ್ವರ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು.
ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ದಾಳಿಕೋರರು ನಿಯಂತ್ರಿತ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಸರ್ವರ್ಗಳನ್ನು ಸಂಪರ್ಕಿಸಿರುವ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಚಾಟ್ ರೂಮ್ಗಳ ಬಳಕೆದಾರರಿಗೆ ದುರ್ಬಲತೆಗಳು ಅತ್ಯಂತ ಅಪಾಯಕಾರಿ. ಅಂತಹ ಸರ್ವರ್ಗಳ ನಿರ್ವಾಹಕರು ದುರ್ಬಲ ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಚಾಟ್ಗೆ ಕಳುಹಿಸಿದ ಸಂದೇಶಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸಲು ಸರ್ವರ್ನ ಬಳಕೆದಾರರನ್ನು ಸೋಗು ಹಾಕಲು ಪ್ರಯತ್ನಿಸಬಹುದು.
ದುರ್ಬಲತೆಗಳು ಕೀಗಳಿಗೆ ಮರು-ಪ್ರವೇಶವನ್ನು ನೀಡುವ ಕಾರ್ಯವಿಧಾನದ ಅನುಷ್ಠಾನದಲ್ಲಿನ ತಾರ್ಕಿಕ ದೋಷಗಳಿಂದ ಉಂಟಾಗುತ್ತವೆ ವಿಭಿನ್ನ ಗ್ರಾಹಕರ ಪ್ರಸ್ತಾಪಗಳನ್ನು ಪತ್ತೆ ಮಾಡಲಾಗಿದೆ. ಮ್ಯಾಟ್ರಿಕ್ಸ್- ios-sdk, ಮ್ಯಾಟ್ರಿಕ್ಸ್-ನಿಯೋ ಮತ್ತು ಲಿಬೊಲ್ಮ್ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಆಧರಿಸಿದ ಅನುಷ್ಠಾನಗಳು ದುರ್ಬಲತೆಗಳಿಗೆ ಗುರಿಯಾಗುವುದಿಲ್ಲ.
ಅದರಂತೆ ಸಮಸ್ಯಾತ್ಮಕ ಕೋಡ್ ಅನ್ನು ಎರವಲು ಪಡೆದ ಎಲ್ಲಾ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ದುರ್ಬಲತೆಗಳು ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ y ಅವು ನೇರವಾಗಿ ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಮತ್ತು ಓಲ್ಮ್ / ಮೆಗೋಲ್ಮ್ ಪ್ರೋಟೋಕಾಲ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಈ ಸಮಸ್ಯೆಯು ವೆಬ್, ಡೆಸ್ಕ್ಟಾಪ್ ಮತ್ತು ಆಂಡ್ರಾಯ್ಡ್ಗಾಗಿ ಕೋರ್ ಎಲಿಮೆಂಟ್ ಮ್ಯಾಟ್ರಿಕ್ಸ್ (ಹಿಂದಿನ ರಾಯಿಟ್) ಕ್ಲೈಂಟ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, ಜೊತೆಗೆ ಫ್ಲುಫಿಚಾಟ್, ನೆಕೊ, ಸಿನ್ನಿ ಮತ್ತು ಸ್ಕಿಲ್ಡಿಚಾಟ್ ನಂತಹ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಕ್ಲೈಂಟ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಗ್ರಂಥಾಲಯಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಅಧಿಕೃತ ಐಒಎಸ್ ಕ್ಲೈಂಟ್ ಅಥವಾ ಚಾಟಿ, ಹೈಡ್ರೋಜನ್, ಮೌಟ್ರಿಕ್ಸ್, ಪರ್ಪಲ್-ಮ್ಯಾಟ್ರಿಕ್ಸ್ ಮತ್ತು ಸಿಫನ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಸಮಸ್ಯೆ ಕಾಣಿಸುವುದಿಲ್ಲ.
ಪೀಡಿತ ಕ್ಲೈಂಟ್ಗಳ ಪ್ಯಾಚ್ಡ್ ಆವೃತ್ತಿಗಳು ಈಗ ಲಭ್ಯವಿದೆ; ಆದ್ದರಿಂದ ಅದನ್ನು ಆದಷ್ಟು ಬೇಗ ಅಪ್ಡೇಟ್ ಮಾಡಬೇಕೆಂದು ವಿನಂತಿಸಲಾಗಿದೆ ಮತ್ತು ಅನಾನುಕೂಲತೆಗಾಗಿ ನಾವು ಕ್ಷಮೆಯಾಚಿಸುತ್ತೇವೆ. ನಿಮಗೆ ಅಪ್ಗ್ರೇಡ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ, ದುರ್ಬಲ ಕ್ಲೈಂಟ್ಗಳನ್ನು ಆಫ್ಲೈನ್ನಲ್ಲಿ ಇಟ್ಟುಕೊಳ್ಳುವವರೆಗೆ ಯೋಚಿಸಿ. ದುರ್ಬಲ ಗ್ರಾಹಕರು ಆಫ್ಲೈನ್ನಲ್ಲಿದ್ದರೆ, ಕೀಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲು ಅವರನ್ನು ಮೋಸಗೊಳಿಸಲಾಗುವುದಿಲ್ಲ. ಅವರು ಅಪ್ಡೇಟ್ ಮಾಡಿದ ನಂತರ ಅವರು ಸುರಕ್ಷಿತವಾಗಿ ಆನ್ಲೈನ್ಗೆ ಮರಳಬಹುದು.
ದುರದೃಷ್ಟವಶಾತ್, ಕ್ಲೈಂಟ್ಗಳು ಮತ್ತು ಸರ್ವರ್ಗಳಲ್ಲಿ ಸ್ಟ್ಯಾಂಡರ್ಡ್ ಲಾಗ್ ಮಟ್ಟಗಳೊಂದಿಗೆ ಈ ದಾಳಿಯ ನಿದರ್ಶನಗಳನ್ನು ಹಿಂದಿನಂತೆ ಗುರುತಿಸುವುದು ಕಷ್ಟ ಅಥವಾ ಅಸಾಧ್ಯ. ಆದಾಗ್ಯೂ, ದಾಳಿಯು ಖಾತೆಯನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬೇಕಾಗಿರುವುದರಿಂದ, ಸೂಕ್ತವಲ್ಲದ ಪ್ರವೇಶದ ಯಾವುದೇ ಚಿಹ್ನೆಗಳಿಗಾಗಿ ಹೋಮ್ ಸರ್ವರ್ ನಿರ್ವಾಹಕರು ತಮ್ಮ ದೃ logೀಕರಣ ಲಾಗ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಬಯಸಬಹುದು.
ಕೀಲಿ ವಿನಿಮಯ ಯಾಂತ್ರಿಕತೆ, ಇದರಲ್ಲಿ ದೋಷಗಳು ಕಂಡುಬಂದಿವೆ, ಕೀಗಳನ್ನು ಹೊಂದಿಲ್ಲದ ಕ್ಲೈಂಟ್ಗೆ ಸಂದೇಶವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕಳುಹಿಸುವವರ ಸಾಧನ ಅಥವಾ ಇತರ ಸಾಧನಗಳಿಂದ ಕೀಗಳನ್ನು ವಿನಂತಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಬಳಕೆದಾರರ ಹೊಸ ಸಾಧನದಲ್ಲಿ ಅಥವಾ ಬಳಕೆದಾರರು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಕೀಗಳನ್ನು ಕಳೆದುಕೊಂಡಲ್ಲಿ ಹಳೆಯ ಸಂದೇಶಗಳ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಈ ಸಾಮರ್ಥ್ಯವು ಅಗತ್ಯವಾಗಿರುತ್ತದೆ. ಪ್ರೋಟೋಕಾಲ್ ವಿವರಣೆಯು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಪ್ರಮುಖ ವಿನಂತಿಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸದಂತೆ ಮತ್ತು ಅದೇ ಬಳಕೆದಾರರ ದೃrifiedೀಕೃತ ಸಾಧನಗಳಿಗೆ ಮಾತ್ರ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಕಳುಹಿಸುವುದನ್ನು ಸೂಚಿಸುತ್ತದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಪ್ರಾಯೋಗಿಕ ಅನುಷ್ಠಾನಗಳಲ್ಲಿ, ಈ ಅವಶ್ಯಕತೆಯನ್ನು ಪೂರೈಸಲಾಗಲಿಲ್ಲ ಮತ್ತು ಕೀಗಳನ್ನು ಕಳುಹಿಸುವ ವಿನಂತಿಗಳನ್ನು ಸರಿಯಾದ ಸಾಧನ ಗುರುತಿಸುವಿಕೆ ಇಲ್ಲದೆ ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲಾಯಿತು.
ಎಲಿಮೆಂಟ್ ಕ್ಲೈಂಟ್ನ ಭದ್ರತಾ ಲೆಕ್ಕಪರಿಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಎಲ್ಲಾ ತೊಂದರೆಗೊಳಗಾದ ಗ್ರಾಹಕರಿಗೆ ಪರಿಹಾರಗಳು ಈಗ ಲಭ್ಯವಿದೆ. ಬಳಕೆದಾರರಿಗೆ ಅಪ್ಡೇಟ್ಗಳನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ತುರ್ತಾಗಿ ಅಪ್ಡೇಟ್ಗಳನ್ನು ಇನ್ಸ್ಟಾಲ್ ಮಾಡಲು ಮತ್ತು ಕ್ಲೈಂಟ್ಗಳನ್ನು ಸಂಪರ್ಕ ಕಡಿತಗೊಳಿಸಲು ಸೂಚಿಸಲಾಗಿದೆ.
ವಿಮರ್ಶೆಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಮೊದಲು ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಯಾವುದೇ ಪುರಾವೆಗಳಿಲ್ಲ. ಪ್ರಮಾಣಿತ ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ಲಾಗ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಯ ಸತ್ಯವನ್ನು ನಿರ್ಧರಿಸುವುದು ಅಸಾಧ್ಯ, ಆದರೆ ದಾಳಿಯು ಖಾತೆಯನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬೇಕಾಗಿರುವುದರಿಂದ, ನಿರ್ವಾಹಕರು ತಮ್ಮ ಸರ್ವರ್ಗಳಲ್ಲಿ ದೃ logೀಕರಣ ಲಾಗ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅನುಮಾನಾಸ್ಪದ ಲಾಗಿನ್ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ವಿಶ್ಲೇಷಿಸಬಹುದು ಮತ್ತು ಬಳಕೆದಾರರು ಪಟ್ಟಿಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಬಹುದು ಇತ್ತೀಚಿನ ಮರುಸಂಪರ್ಕ ಮತ್ತು ನಂಬಿಕೆಯ ಸ್ಥಿತಿ ಬದಲಾವಣೆಗಳಿಗಾಗಿ ತಮ್ಮ ಖಾತೆಗೆ ಲಿಂಕ್ ಮಾಡಲಾದ ಸಾಧನಗಳು.
ಮೂಲ: https://matrix.org