Matrix သုံးစွဲသူများစွာကို အပေးအယူလုပ်သည့် အားနည်းချက်များစွာကို တွေ့ရှိခဲ့သည်။

မက်ထရစ်ပရိုတိုကော

Matrix သည် open instant messaging protocol တစ်ခုဖြစ်သည်။ သုံးစွဲသူများအား အွန်လိုင်းချတ်၊ IP မှ အသံနှင့် ဗီဒီယိုချတ်မှတစ်ဆင့် ဆက်သွယ်နိုင်စေရန် ဒီဇိုင်းထုတ်ထားသည်။

မကြာသေးမီက ပလက်ဖောင်း developer များ ဗဟိုချုပ်ကိုင်မှုရှိသော ဆက်သွယ်ရေးs «Matrix» သည် အမျိုးမျိုးသော အားနည်းချက်များအကြောင်း သတိပေးချက်ကို ထုတ်ပြန်ခဲ့သည်။ ရှာဖွေတွေ့ရှိခဲ့သည်နှင့် ဝေဖန်ပိုင်းခြားတတ်ကြတယ်။ ဆာဗာစီမံခန့်ခွဲသူများသည် အခြားအသုံးပြုသူများအယောင်ဆောင်ကာ အဆုံးမှအဆုံး ကုဒ်ဝှက်ထားသော ချတ်များ (E2EE) မှ မက်ဆေ့ချ်များကို ဖတ်ခွင့်ပြုသည့် matrix-js-sdk၊ matrix-ios-sdk၊ နှင့် matrix-android-sdk2 စာကြည့်တိုက်များတွင် ဖြစ်သည်။

ဒါဟာဖော်ပြခဲ့တဲ့ဖြစ်ပါတယ် တိုက်ခိုက်မှုကို အောင်မြင်စွာ ပြီးမြောက်ရန်အတွက်၊ တိုက်ခိုက်သူများ ထိန်းချုပ်ထားသော အိမ်သုံးဆာဗာကို ဝင်ရောက်အသုံးပြုရပါမည်။ (ပင်မဆာဗာ- သုံးစွဲသူမှတ်တမ်းနှင့် အကောင့်များကို သိမ်းဆည်းရန် ဆာဗာ)။ client ဘက်မှ end-to-end ကုဒ်ဝှက်ခြင်းကို အသုံးပြုခြင်းသည် ဆာဗာစီမံခန့်ခွဲသူကို စာတိုပေးပို့ခြင်းတွင် ဝင်ရောက်စွက်ဖက်ရန် ခွင့်မပြုသော်လည်း ဖော်ထုတ်ထားသော အားနည်းချက်များသည် ဤအကာအကွယ်ကို ရှောင်လွှဲနိုင်စေပါသည်။

ပြဿနာများသည် ပင်မ Element Matrix သုံးစွဲသူအပေါ် သက်ရောက်မှုရှိသည်။ ဝဘ်၊ ဒက်စ်တော့၊ iOS နှင့် Android အတွက် (ယခင် Riot) အပြင် Cinny၊ Beeper၊ SchildiChat၊ Circuli နှင့် Synod.im ကဲ့သို့သော ပြင်ပကလိုင်းယင့်အက်ပ်များ။

အားနည်းချက်များသည် matrix-rust-sdk၊ hydrogen-sdk၊ Matrix Dart SDK၊ mautrix-python၊ mautrix-go နှင့် matrix-nio တို့အပြင် Hydrogen၊ ElementX၊ Nheko၊ FluffyChat၊ Siphon၊ Timmy၊ Gomuks နှင့် Pantalaimon အပလီကေးရှင်းများ။

အရေးပါသော ပြင်းထန်မှုပြဿနာများသည် matrix-js-sdk နှင့် နိမိတ်လက္ခဏာများတွင် အကောင်အထည်ဖော်မှုပြဿနာများဖြစ်ပြီး Matrix ရှိ ပရိုတိုကောပြဿနာများမဟုတ်ကြောင်း သတိပြုပါ။ ကျွန်ုပ်တို့တွေ့ခဲ့ရသော သုတေသီများ၏ နောက်ဆုံးဗားရှင်းသည် Element အား "စံသတ်မှတ်ချက် Matrix client" အဖြစ် မှားယွင်းစွာ ပုံဖော်ထားပြီး ပိုမိုပြင်းထန်မှုရှိသော အကောင်အထည်ဖော်မှုအမှားများကို ပြင်းထန်မှုနည်းသော ပရိုတိုကောဝေဖန်မှုဖြင့် ရှုပ်ထွေးစေသည်။

အခြေအနေသုံးမျိုးရှိတယ်။ အဓိကတိုက်ခိုက်မှု

  1. Matrix ဆာဗာစီမံခန့်ခွဲသူသည် အီမိုဂျီအခြေခံအတည်ပြုခြင်း (SAS၊ Short Authentication Chains) ကို ဖြတ်ကျော်ပြီး လက်မှတ်ဖြတ်ပြီး အခြားအသုံးပြုသူအယောင်ဆောင်ကာ အသုံးပြုခြင်းဖြင့် ချိုးဖျက်နိုင်သည်။ စက်ပစ္စည်း ID ကိုင်တွယ်ခြင်းနှင့် အပြန်အလှန်လက်မှတ်ထိုးခြင်းသော့များပေါင်းစပ်ခြင်းဆိုင်ရာ matrix-js-sdk ကုဒ်ရှိ အားနည်းချက်တစ်ခု (CVE-2022-39250) ကြောင့် ဖြစ်ရခြင်းဖြစ်ပါသည်။
  2. ဆာဗာကို ထိန်းချုပ်သည့် တိုက်ခိုက်သူသည် ယုံကြည်စိတ်ချရသော ပေးပို့သူအား အယောင်ဆောင်ကာ အခြားအသုံးပြုသူများထံမှ မက်ဆေ့ချ်များကို ကြားဖြတ်တားဆီးရန် သော့အတုကို ပေးပို့နိုင်သည်။ ပြဿနာသည် matrix-js-sdk (CVE-2022-39251)၊ matrix-ios-sdk (CVE-2022-39255) နှင့် matrix-android-sdk2 (CVE-2022-39248) တို့တွင် အားနည်းချက်တစ်ခုကြောင့်ဖြစ်သည်။ client သည် Olm အစား Megolm ပရိုတိုကောကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသော စက်များသို့ ပေးပို့ထားသော မက်ဆေ့ဂျ်များကို မှားယွင်းစွာ လက်ခံသည်၊ အမှန်တကယ် ပေးပို့သူအစား Megolm ပေးပို့သူထံသို့ မက်ဆေ့ချ်များကို လွဲမှားစွာ လက်ခံပါသည်။
  3. ယခင်စာပိုဒ်တွင်ဖော်ပြထားသော အားနည်းချက်များကို အသုံးချခြင်းဖြင့်၊ ဆာဗာစီမံခန့်ခွဲသူသည် မက်ဆေ့ချ်စာဝှက်ရန်အသုံးပြုသောသော့များကို ထုတ်ယူရန်အတွက် အသုံးပြုသူအကောင့်သို့ dummy spare key ကိုလည်း ထည့်သွင်းနိုင်သည်။

အားနည်းချက်ကို ဖော်ထုတ်ခဲ့သူ သုတေသီများ ပြင်ပအသုံးပြုသူကို ချတ်တစ်ခုသို့ ပေါင်းထည့်သည့် တိုက်ခိုက်မှုများကိုလည်း သရုပ်ပြခဲ့သည်။ သို့မဟုတ် ပြင်ပကုမ္ပဏီ စက်ကို အသုံးပြုသူနှင့် ချိတ်ဆက်ပါ။ တိုက်ခိုက်မှုများသည် ချတ်သို့အသုံးပြုသူများထည့်ရန်အသုံးပြုသည့်ဝန်ဆောင်မှုမက်ဆေ့ချ်များကို ချတ်ဖန်တီးသူ၏သော့များနှင့်မချိတ်ဆက်ဘဲ ဆာဗာစီမံခန့်ခွဲသူကထုတ်ပေးနိုင်သည့်အချက်အပေါ်အခြေခံသည်။

Matrix ပရောဂျက်၏ developer များသည် အဆိုပါအားနည်းချက်များကို အသေးအဖွဲအဖြစ် ခွဲခြားထားသည်။ဤကဲ့သို့ ခြယ်လှယ်မှုများသည် Matrix တွင် မွေးရာပါမဟုတ်သောကြောင့် ပရိုတိုကောကိုအခြေခံ၍ ဖောက်သည်များကိုသာ သက်ရောက်မှုရှိသောကြောင့် ၎င်းသည် ၎င်းတို့သတိမပြုမိတော့ဟု မဆိုလိုပါ- အသုံးပြုသူတစ်ဦးကို အစားထိုးပါက၊ ၎င်းကို ချတ်အသုံးပြုသူများစာရင်းတွင် ပြသမည်ဖြစ်ပြီး ထည့်သွင်းသည့်အခါ၊ စက်ပစ္စည်းတစ်ခု၊ သတိပေးချက်တစ်ခုပြသမည်ဖြစ်ပြီး စက်ပစ္စည်းအား အတည်မပြုရသေးသည့်အဖြစ် အမှတ်အသားပြုလိမ့်မည် (ဤကိစ္စတွင်၊ ခွင့်ပြုချက်မရှိသောစက်ပစ္စည်းကို ထည့်သွင်းပြီးနောက် ချက်ခြင်း၊ ၎င်းသည် မက်ဆေ့ချ်များကို ကုဒ်ဖော်ရန် လိုအပ်သော အများသူငှာသော့များကို စတင်လက်ခံရရှိမည်ဖြစ်သည်။

ဤနေရာတွင် အရေးကြီးသော ပြဿနာများ၏ မူလဇစ်မြစ်ရှိ ချို့ယွင်းချက်များကြောင့် matrix-rust-sdk၊ hydrogen-sdk နှင့် အခြားသော XNUMXnd နှင့် XNUMXrd generation SDK များကို ထိခိုက်ခြင်းမရှိကြောင်း သင်သတိပြုမိပါလိမ့်မည်။ ထို့ကြောင့် ကျွန်ုပ်တို့သည် ပထမမျိုးဆက် SDKs များကို သန့်ရှင်းသပ်ရပ်စွာ ရေးသားထားသည့် Matrix-rust-sdk ပုံစံဖြင့် Rust ကို သန့်ရှင်းသော ဂရုတစိုက်ဖြင့် အစားထိုးရန် တိကျစွာလုပ်ဆောင်နေသောကြောင့်ဖြစ်ပြီး၊ ဆက်လက်လုပ်ဆောင်နေသည့် လွတ်လပ်သောအများပြည်သူဆိုင်ရာ စာရင်းစစ်တစ်ခုဖြစ်သည်။

အားနည်းချက်များသည် တစ်ဦးချင်းစီ အကောင်အထည်ဖော်မှုတွင် ချို့ယွင်းချက်များကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ Matrix ပရိုတိုကောနှင့် ၎င်းတို့သည် ပရိုတိုကောကိုယ်တိုင်၏ ပြဿနာများမဟုတ်ပါ။ လက်ရှိတွင်၊ ပရောဂျက်သည် ပြဿနာရှိသော SDKs များအတွက် အပ်ဒိတ်များနှင့် ၎င်းတို့အပေါ်တွင် တည်ဆောက်ထားသော client application အချို့ကို ထုတ်ပြန်ထားပါသည်။

နောက်ဆုံးတော့ဟုတ်တယ် အဲဒါကို သင် ပိုသိဖို့ စိတ်ဝင်စားတယ်။သင်သည်အသေးစိတ်အချက်အလက်များကိုစစ်ဆေးနိုင်သည် အောက်ပါ link ကို။


ဆောင်းပါး၏ပါ ၀ င်မှုသည်ကျွန်ုပ်တို့၏အခြေခံမူများကိုလိုက်နာသည် အယ်ဒီတာအဖွဲ့ကျင့်ဝတ်။ အမှားတစ်ခုကိုသတင်းပို့ရန်ကလစ်နှိပ်ပါ ဒီမှာ.

မှတ်ချက်ပေးရန်ပထမဦးဆုံးဖြစ်

သင်၏ထင်မြင်ချက်ကိုချန်ထားပါ

သင့်အီးမေးလ်လိပ်စာပုံနှိပ်ထုတ်ဝေမည်မဟုတ်ပါ။

*

*

  1. အချက်အလက်အတွက်တာဝန်ရှိသည် - Miguel ÁngelGatón
  2. အချက်အလက်များ၏ရည်ရွယ်ချက်: ထိန်းချုပ်ခြင်း SPAM, မှတ်ချက်စီမံခန့်ခွဲမှု။
  3. တရားဝင်: သင်၏ခွင့်ပြုချက်
  4. အချက်အလက်များ၏ဆက်သွယ်မှု - ဒေတာများကိုဥပဒေအရတာ ၀ န်ယူမှုမှ လွဲ၍ တတိယပါတီများသို့ဆက်သွယ်မည်မဟုတ်ပါ။
  5. ဒေတာသိမ်းဆည်းခြင်း: Occentus ကွန်ယက်များ (အီးယူ) မှလက်ခံသည့်ဒေတာဘေ့စ
  6. အခွင့်အရေး - မည်သည့်အချိန်တွင်မဆိုသင်၏အချက်အလက်များကိုကန့်သတ်၊