زیانونه په ډیری میټرکس پیرودونکو کې موندل شوي

په دې وروستیو کې خبر خپور شو چې زیانونه پیژندل شوي (CVE-2021-40823، CVE-2021-40824) په ډیری پیرودونکي غوښتنلیکونو کې د غیر متمرکز مخابراتو پلیټ فارم لپاره میټرکس ، کوم چې د کوډ شوي پای څخه تر پای چیٹونو (E2EE) کې د پیغامونو لیږدولو لپاره کارول شوي کلیمو په اړه معلوماتو ترلاسه کولو اجازه ورکوي.

یو برید کونکی چې یو له کاروونکو سره یې جوړجاړی کړی دی له چیټ څخه کولی شي دمخه لیږل شوي پیغامونه کوډ کړي دې کاروونکي ته د زیان منونکي پیرودونکي غوښتنلیکونو څخه. بریالي عملیات د پیغام ترلاسه کونکي حساب ته لاسرسي ته اړتیا لري او لاسرسی دواړه د حساب پیرامیټونو لیک له لارې او د میټریکس سرور هیک کولو له لارې ترلاسه کیدی شي له لارې چې کارونکی ورسره نښلوي.

د زیانونه د کوډ شوي چیٹ خونو کاروونکو لپاره خورا خطرناک دي چیرې چې د برید کونکو کنټرول شوي میټرکس سرورونه وصل دي. د دا ډول سرورونو مدیران کولی شي د سرور کاروونکو نقش کولو هڅه وکړي ترڅو د زیان رسونکي پیرودونکي غوښتنلیکونو څخه چیټ ته لیږل شوي پیغامونه بند کړي.

زیانونه کلیدونو ته د بیا لاسرسي ورکولو لپاره د میکانیزم پلي کولو کې د منطقي غلطیو له امله رامینځته شوي په مختلف پیرودونکو کې وړاندیزونه کشف شوي. د matrix-ios-sdk ، matrix-nio ، او libolm کتابتونونو پراساس تطبیقونه د زیان منلو وړ ندي.

په دې اساس زیانونه په ټولو غوښتنلیکونو کې څرګندیږي چې د ستونزې کوډ یې پور کړی y دوی مستقیم د میټریکس اولم / میګولم پروتوکولونو باندې اغیزه نلري.

په ځانګړي توګه ، مسله د ویب ، ډیسټاپ ، او Android لپاره اصلي عنصر میټریکس (پخوانی فساد) مراجع باندې اغیزه کوي ، په بیله بیا د دریمې ډلې پیرودونکي غوښتنلیکونه او کتابتونونه ، لکه فلفی چیټ ، نیکو ، سني ، او شیلډی چیټ. ستونزه په رسمي iOS پیرودونکي کې نه ښکاري ، او نه هم په چټي ، هایدروجن ، میتریکس ، ارغواني میټریکس او سیفون غوښتنلیکونو کې.

د اغیزمنو پیرودونکو پیچ شوي نسخې اوس شتون لري نو دا غوښتنه کیږي چې دا ژر تر ژره تازه شي او موږ د تکلیف لپاره بخښنه غواړو. که تاسو پرمختللی نشئ ، د زیان منونکي پیرودونکو آنلاین ساتلو ته پام وکړئ تر هغه چې تاسو یې نشئ کولی. که زیان منونکي پیرودونکي آفلاین وي ، دوی د کیلو په افشا کولو کې نه شي اخته کیدی. دوی ممکن په خوندي ډول آنلاین بیرته راشي کله چې دوی تازه شي.

له بده مرغه ، دا ستونزمنه یا ناممکن ده چې د دې برید مثالونه په دواړه پیرودونکو او سرورونو کې د معیاري لاګ کچې سره وپیژندل شي. په هرصورت ، لدې چې برید د حساب سره موافقت ته اړتیا لري ، د کور سرور اداره کونکي ممکن د نامناسب لاسرسي کومې نښې لپاره د دوی د تصدیق لاګز بیاکتنه وغواړي.

د تبادلې کلیدي میکانیزم ، په پلي کولو کې چې زیانونه پکې موندل شوي ، یو پیرودونکي ته اجازه ورکوي څوک چې د پیغام کوډ کولو کیلي نلري د لیږونکي وسیلې یا نورو وسیلو څخه د کیلو غوښتنه کولو لپاره.

د مثال په توګه ، دا وړتیا اړینه ده چې د کارونکي نوي وسیلې کې د زړو پیغامونو ډیکریپشن ډاډ ترلاسه شي یا په هغه حالت کې چې کارونکي موجوده کیلي له لاسه ورکړي. د پروتوکول مشخصات په ډیفالټ وړاندیز کوي چې کلیدي غوښتنو ته ځواب ورنکړي او په اوتومات ډول یې یوازې د ورته کارونکي تایید شوي وسیلو ته واستوي. بدبختانه ، په عملي پلي کیدو کې ، دا اړتیا نده پوره شوې او د کیلي لیږلو غوښتنې پرته د مناسب وسیلې پیژندنې پروسس شوي.

زیانونه د عنصر پیرودونکي امنیتی پلټنې پرمهال پیژندل شوي. اصلاحات اوس ټولو پریشانه پیرودونکو ته شتون لري. کاروونکو ته مشوره ورکول کیږي چې سمدستي تازه معلومات نصب کړي او د تازه نصبولو دمخه پیرودونکي وصل کړي.

د بیاکتنې له خپریدو دمخه د زیان مننې څخه د ګټې اخیستنې هیڅ شواهد شتون نلري. د معیاري پیرودونکي او سرور لاګونو په کارولو سره د برید واقعیت مشخص کول ناممکن دي ، مګر لدې چې برید د حساب سره موافقت ته اړتیا لري ، مدیران کولی شي په خپلو سرورونو کې د تصدیق لاګ په کارولو سره د مشکوک لاګینونو شتون تحلیل کړي ، او کارونکي کولی شي د لیست ارزونه وکړي. د وروستي نښلولو او د باور وضعیت بدلونونو لپاره د دوی حساب سره وصل شوي وسیلې.

سرچینه: https://matrix.org


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.