බොහෝ Matrix පාරිභෝගිකයින්ට බාධා කරන දුර්වලතා කිහිපයක් හඳුනා ගන්නා ලදී

matrix ප්රොටෝකෝලය

Matrix යනු විවෘත ක්ෂණික පණිවුඩකරණ ප්‍රොටෝකෝලයකි. එය සැලසුම් කර ඇත්තේ පරිශීලකයින්ට සබැඳි කතාබස්, අයිපී හරහා හඬ සහ වීඩියෝ කතාබස් හරහා සන්නිවේදනය කිරීමට ඉඩ සලසන ලෙසය.

මෑතකදී වේදිකා සංවර්ධකයින් විමධ්‍යගත සන්නිවේදනයs «Matrix» විවිධ දුර්වලතා පිළිබඳ අනතුරු ඇඟවීමක් නිකුත් කළේය අනාවරණය කරගත් බව සහ ඔවුන් විවේචනාත්මක ය matrix-js-sdk, matrix-ios-sdk, සහ matrix-android-sdk2 පුස්තකාලවල සේවාදායක පරිපාලකයින්ට වෙනත් පරිශීලකයින් ලෙස පෙනී සිටීමට සහ අවසානයේ සිට අවසානය දක්වා සංකේතනය කළ කතාබස් (E2EE) වෙතින් පණිවිඩ කියවීමට ඉඩ සලසයි.

එය සඳහන් කර ඇත ප්‍රහාරයක් සාර්ථකව නිම කිරීමට, ප්‍රහාරකයින් විසින් පාලනය කරනු ලබන නිවාස සේවාදායකයක් වෙත ප්‍රවේශ විය යුතුය (ගෘහ සේවාදායකය: සේවාදායක ඉතිහාසය සහ ගිණුම් ගබඩා කිරීමට සේවාදායකයක්). සේවාලාභියාගේ පැත්තෙන් අන්තයේ සිට අවසානය දක්වා සංකේතනය භාවිතා කිරීම සේවාදායක පරිපාලකයාට පණිවිඩ යැවීමට මැදිහත් වීමට ඉඩ නොදේ, නමුත් හඳුනාගත් දුර්වලතා මෙම ආරක්ෂාව මඟ හැරීමට ඉඩ සලසයි.

ගැටළු ප්‍රධාන Element Matrix සේවාලාභියාට බලපායි (කලින් Riot) වෙබ්, ඩෙස්ක්ටොප්, iOS සහ Android සඳහා මෙන්ම Cinny, Beeper, SchildiChat, Circuli, සහ Synod.im වැනි තෙවන පාර්ශවීය සේවාදායක යෙදුම් සඳහා.

matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, සහ matrix-nio, මෙන්ම Hydrogen, ElementX, Nheko, FluffyChat, Siphon, Timmy, පුස්තකාලවල දුර්වලතා නොපෙනේ. Gomuks, සහ Pantalaimon යෙදුම්.

විවේචනාත්මක බරපතල ගැටළු matrix-js-sdk සහ ව්‍යුත්පන්නයන් තුළ ක්‍රියාත්මක කිරීමේ ගැටළු වන අතර Matrix හි ප්‍රොටෝකෝල ගැටළු නොවන බව සලකන්න. අප දැක ඇති පර්යේෂකයන්ගේ පත්‍රිකාවේ නවතම අනුවාදය මූලද්‍රව්‍යය "මිණුම් ලකුණ Matrix සේවාලාභියා" ලෙස වැරදි ලෙස නිරූපණය කරන අතර අඩු බරපතල ප්‍රොටෝකෝල විවේචන සමඟ ඉහළ බරපතලකම ක්‍රියාත්මක කිරීමේ දෝෂ ව්‍යාකූල කරයි.

අවස්ථා තුනක් තිබේ ප්රධාන ප්රහාරය:

  1. Matrix සේවාදායක පරිපාලකයාට හරස් අත්සන් භාවිතා කිරීමෙන් සහ වෙනත් පරිශීලකයෙකු ලෙස පෙනී සිටීමෙන් ඉමොජි පදනම් සත්‍යාපනය (SAS, කෙටි සත්‍යාපන දාම) බිඳ දැමිය හැක. උපාංගය හැඳුනුම්පත් හැසිරවීම සහ හරස් අත්සන් කිරීමේ යතුරු සංයෝජනයට අදාළ matrix-js-sdk කේතයේ ඇති අවදානමක් (CVE-2022-39250) නිසා මෙම ගැටළුව ඇතිවේ.
  2. සේවාදායකය පාලනය කරන ප්‍රහාරකයෙකුට විශ්වාසදායක යවන්නෙකු ලෙස පෙනී සිටීමට සහ වෙනත් පරිශීලකයන්ගෙන් පණිවිඩවලට බාධා කිරීමට ව්‍යාජ යතුරක් යැවීමට හැකිය. මෙම ගැටළුව ඇතිවූයේ matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255) සහ matrix-android-sdk2 (CVE-2022-39248) හි ඇති දුර්වලතාවයක් නිසා ය. සේවාදායකයා Olm වෙනුවට Megolm ප්‍රොටෝකෝලය භාවිතා කරමින් සංකේතාත්මක උපාංග වෙත යොමු කරන ලද පණිවිඩ වැරදි ලෙස පිළිගනී, සැබෑ යවන්නා වෙනුවට Megolm යවන්නාට පණිවිඩ ආරෝපණය කරයි.
  3. පෙර ඡේදයේ සඳහන් දුර්වලතා උපයෝගී කර ගැනීමෙන්, පණිවිඩ සංකේතනය කිරීමට භාවිතා කරන යතුරු උකහා ගැනීම සඳහා සේවාදායක පරිපාලකයාට ව්‍යාජ අමතර යතුරක් පරිශීලක ගිණුමට එක් කළ හැකිය.

අවදානම හඳුනා ගත් පර්යේෂකයන් තුන්වන පාර්ශ්ව පරිශීලකයෙකු කතාබස් කිරීමට එක් කරන ප්‍රහාර ද නිරූපණය කළේය නැතහොත් පරිශීලකයාට තෙවන පාර්ශවීය උපාංගයක් සම්බන්ධ කරන්න. ප්‍රහාරයන් පදනම් වී ඇත්තේ කතාබස් වෙත පරිශීලකයින් එක් කිරීමට භාවිතා කරන සේවා පණිවිඩ චැට් නිර්මාපකයාගේ යතුරු සමඟ සම්බන්ධ නොවීම සහ සේවාදායක පරිපාලක විසින් උත්පාදනය කළ හැකි බැවිනි.

Matrix ව්‍යාපෘතියේ සංවර්ධකයින් මෙම දුර්වලතා සුළු වශයෙන් වර්ගීකරණය කර ඇත, එවැනි උපාමාරු Matrix වලට ආවේනික නොවන අතර ප්‍රොටෝකෝලය මත පදනම්ව සේවාදායකයින්ට පමණක් බලපාන බැවින්, නමුත් මෙයින් අදහස් කරන්නේ ඒවා අවධානයට ලක් නොවන බව නොවේ: පරිශීලකයෙකු ප්‍රතිස්ථාපනය කළහොත්, එය කතාබස් පරිශීලකයින්ගේ ලැයිස්තුවේ පෙන්වනු ඇත, සහ එකතු කළ විට උපාංගයක්, අනතුරු ඇඟවීමක් දර්ශනය වන අතර උපාංගය සත්‍යාපනය නොකළ ලෙස සලකුණු කරනු ඇත (මෙම අවස්ථාවේදී, අනවසර උපාංගය එකතු කළ වහාම, පණිවිඩ විකේතනය කිරීමට අවශ්‍ය පොදු යතුරු ලැබීම ආරම්භ වේ.

matrix-rust-sdk, hydrogen-sdk, සහ අනෙකුත් XNUMXවන සහ XNUMXවන පරම්පරාවේ SDKs මෙහි තීරනාත්මක ගැටළු වලට මුලික හේතුවෙහි ඇති දෝෂ වලින් බලපෑමට ලක් නොවූ බව ඔබට පෙනෙනු ඇත. දැනට පවතින ස්වාධීන මහජන විගණනයකින් සම්පූර්ණ වූ matrix-rust-sdk ආකාරයෙන් Rust පිරිසිදු, පරිස්සමින් ලිඛිත ක්‍රියාත්මක කිරීමක් සමඟ පළමු පරම්පරාවේ SDK ප්‍රතිස්ථාපනය කිරීමට අපි ක්‍රියා කරමින් සිටින්නේ මේ නිසාය.

තනි ක්‍රියාත්මක කිරීම් වල ඇති දෝෂ නිසා දුර්වලතා ඇති වේ Matrix ප්‍රොටෝකෝලයේ සහ ඒවා ප්‍රොටෝකෝලයේම ගැටළු නොවේ. දැනට, ව්‍යාපෘතිය මඟින් ගැටලුකාරී SDK සහ ඒවාට ඉහළින් ගොඩනගා ඇති සමහර සේවාදායක යෙදුම් සඳහා යාවත්කාලීන නිකුත් කර ඇත.

අවසාන වශයෙන් ඔව් ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට උනන්දු වෙයි, ඔබට විස්තර පරීක්ෂා කළ හැකිය පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ.

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.