बर्लिन पासून एक स्टार्टअप रिमोट कोड अंमलबजावणीची असुरक्षा प्रकट केली आहे (आरसीई) आणि क्रॉस-साइट स्क्रिप्ट (एक्सएसएस) त्रुटी प्लेिंग मध्ये, जो या प्लॅटफॉर्मवर तयार केलेल्या विविध अनुप्रयोग कॅटलॉगमध्ये वापरला जातो आणि ज्यामुळे जावास्क्रिप्ट कोड इतर वापरकर्त्यांच्या संदर्भात कार्यान्वित होऊ शकेल. प्रभावित साइट्स काही मुख्य विनामूल्य सॉफ्टवेअर अनुप्रयोग कॅटलॉग आहेत जसे की store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com आणि इतर.
पॉझिटिव्ह सिक्युरिटी, ज्यांना छिद्र सापडले त्यांनी म्हटले आहे की प्लेग कोडमध्ये बग्स अजूनही अस्तित्वात आहेत आणि असुरक्षा अहवालाला त्याच्या देखभालकर्त्यांनी प्रतिसाद दिला नाही.
या वर्षाच्या सुरूवातीस, आम्ही लोकप्रिय डेस्कटॉप अॅप्सने वापरकर्त्याने पुरविलेले यूआरआय कसे हाताळतात आणि त्यापैकी बर्याच कोडांमध्ये अंमलबजावणीची असुरक्षा आढळली. मी तपासलेल्या अॅप्सपैकी एक म्हणजे केडीई डिस्कव्हर Storeप स्टोअर, जो अविश्वसनीय मार्गाने अविश्वासू यूआरआय हाताळण्यास निघाला (सीव्हीई -2021-28117, केडीई सुरक्षा सल्लागार).
वाटेतच, मला अन्य मुक्त सॉफ्टवेअर बाजारामध्ये त्वरित बर्याच गंभीर असुरक्षितता आढळल्या.
प्लेंग-आधारित बाजारामध्ये पुरवठा साखळी हल्ल्यांच्या संभाव्यतेसह एक चिंताग्रस्त एक्सएसएस आणि प्लेिंगस्टोर अनुप्रयोगाच्या वापरकर्त्यांना प्रभावित करणारे ड्राइव्ह-बाय आरसीई अद्याप शोषण केले जाऊ शकते.
थीम आणि ग्राफिक्स अपलोड करण्यासाठी क्रिएटिव्ह्जसाठी प्लेिंग स्वतःला बाजारपेठ म्हणून प्रस्तुत करते लिनक्स डेस्कटॉप, इतर गोष्टींबरोबरच, समर्थकांकडून काही नफा मिळविण्याच्या आशेने. हे दोन भागात येते: त्यांच्या स्वत: च्या बिलिंग बाजार चालविण्यासाठी आवश्यक कोड आणि इलेक्ट्रॉनिंग-आधारित अनुप्रयोग जो वापरकर्त्यांद्वारे प्लेिंग सॉकवरुन त्यांचे थीम व्यवस्थापित करण्यासाठी स्थापित केला जाऊ शकतो. वेब कोडमध्ये एक्सएसएस आहे आणि क्लायंटकडे एक्सएसएस आणि आरसीई आहे. प्लेंग pling.com आणि store.kde.org पासून gnome-look.org आणि xfce-look.org पर्यंत अनेक साइटला सामर्थ्य देते.
समस्येचे सार ते व्यासपीठ आहे प्लेंग एचटीएमएल स्वरूपात मल्टीमीडिया ब्लॉक्स जोडण्याची परवानगी देते, उदाहरणार्थ, YouTube व्हिडिओ किंवा प्रतिमा समाविष्ट करण्यासाठी. फॉर्मद्वारे जोडलेला कोड प्रमाणित नाही योग्यरित्या, काय प्रतिमेच्या आडखाली आपल्याला दुर्भावनायुक्त कोड जोडण्याची परवानगी देते आणि जेव्हा जावास्क्रिप्ट कोड कार्यान्वित होईल तेव्हा निर्देशिका मध्ये माहिती ठेवा. ज्यांच्याकडे खाते आहे अशा वापरकर्त्यांसाठी ही माहिती उघडली जाईल, तर त्यांच्या पृष्ठांवर जावास्क्रिप्ट कॉल जोडणे, एक प्रकारचा नेटवर्क अळी लागू करण्यासह या वापरकर्त्याच्या वतीने निर्देशिकेत क्रिया करणे शक्य आहे.
तसेच, प्लेिंगस्टोअर अनुप्रयोगामध्ये एक असुरक्षितता ओळखली गेली आहे, इलेक्ट्रॉन प्लॅटफॉर्म वापरुन लिहिलेले व तुम्हाला ब्राऊजरविना ओपनडेस्कटॉप निर्देशिका मध्ये नेव्हिगेट करण्याची परवानगी व तेथे सादर केलेले संकुल प्रतिष्ठापीत करणे. प्लेिंगस्टोरमधील असुरक्षितता वापरकर्त्याच्या सिस्टमवर त्याचा कोड चालविण्यास परवानगी देते.
जेव्हा प्लेिंगस्टोअर अनुप्रयोग चालू असतो तेव्हा ocs- व्यवस्थापक प्रक्रिया याव्यतिरिक्त सुरू केली जाते, वेबसॉकेटद्वारे स्थानिक कनेक्शन स्वीकारत आहे आणि अॅप्लिकेशन स्वरूपात अनुप्रयोग लोड करणे आणि लाँच करणे यासारख्या कमांड्स चालवित आहेत. कमांड प्लेिंगस्टोर applicationप्लिकेशनद्वारे प्रसारित केल्या पाहिजेत, परंतु प्रत्यक्षात, प्रमाणीकरणाच्या अभावामुळे वापरकर्त्याच्या ब्राउझरकडून ocs-manager ला विनंती पाठविली जाऊ शकते. वापरकर्त्याने दुर्भावनायुक्त साइट उघडल्यास ते ocs-manager सह कनेक्शन प्रारंभ करू शकतात आणि वापरकर्त्याच्या सिस्टमवर कोड चालवू शकतात.
एक्सटेंशन.ग्नॉम.ऑर्ग. निर्देशिकेमध्ये एक्सएसएस असुरक्षा देखील नोंदवली गेली आहे; प्लगइन मुख्य पृष्ठाच्या यूआरएल असलेल्या फील्डमध्ये आपण "जावास्क्रिप्ट: कोड" स्वरूपात जावास्क्रिप्ट कोड निर्दिष्ट करू शकता आणि जेव्हा आपण दुव्यावर क्लिक कराल तेव्हा निर्दिष्ट केलेली जावास्क्रिप्ट प्रोजेक्ट साइट उघडण्याऐवजी लाँच केली जाईल.
एका बाजूने, समस्या अधिक सट्टा आहे, विस्तार .gnome.org निर्देशिकेमधील स्थान नियंत्रित केले जात असल्याने आणि हल्ल्यासाठी केवळ एक विशिष्ट पृष्ठ उघडणे आवश्यक नाही, तर दुव्यावर स्पष्ट क्लिक देखील आवश्यक आहे. दुसरीकडे, पडताळणीदरम्यान, मॉडरेटरला प्रकल्प साइटवर जाणे, दुवा फॉर्मकडे दुर्लक्ष करणे आणि त्यांच्या खात्याच्या संदर्भात जावास्क्रिप्ट कोड चालविणे आवडेल.
शेवटी, जर आपल्याला त्याबद्दल अधिक जाणून घेण्यास स्वारस्य असेल तर आपण सल्लामसलत करू शकता पुढील लिंकमधील तपशील.