La ogaaday dhowr dayacan oo dhib u geysta macaamiil badan oo Matrix ah

Darkcrizt

Daqiiqado 4

borotokoolka matrixka

Matrix waa borotokoolka fariimaha degdega ah ee furan. Waxaa loogu talagalay in loogu oggolaado isticmaaleyaasha inay ku wada xiriiraan wada-sheekeysiga khadka tooska ah, codka ku-saleysan IP-ga, iyo wada-sheekeysiga fiidiyowga.

Dhawaan the horumarinta madal isgaarsiinta baahsans «Matrix» ayaa sii daayay digniin ku saabsan dayacannada kala duwan kuwaas oo la ogaaday iyo waa dhaliil Maktabadaha matrix-js-sdk, matrix-ios-sdk, iyo matrix-android-sdk2 ee u oggolaanaya maamulayaasha server-ka inay iska dhigaan isticmaaleyaasha kale oo ay akhriyaan farriimaha sheekeysiga sir ah ee dhammaadka-ilaa-dhamaadka ah (E2EE).

Waxaa lagu xusay si guul leh loo dhammeeyo weerarka, server-ka guriga ee ay gacanta ku hayaan weeraryahanadu waa in la galo (Serfar-guri: server si loo kaydiyo taariikhda macmiilka iyo xisaabaadka). Isticmaalka sirta dhamaadka-ilaa-dhamaadka ee dhinaca macmiilka uma ogola maamulaha server-ka inuu soo farageliyo fariimaha, laakiin dayacanka la aqoonsaday ayaa u oggolaanaya ilaalintan in la hareer maro.

Arrimuhu waxay saameeyaan macmiilka Element Matrix-ka ugu weyn (oo hore u ahaan jirtay Riot) ee shabakada, desktop, iOS, iyo Android, iyo sidoo kale barnaamijyada macmiilka ee dhinac saddexaad sida Cinny, Beeper, SchildChat, Circuli, iyo Synod.im.

Nuglaanta kama muuqato maktabadaha matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, iyo matrix-nio, iyo sidoo kale Hydrogen, ElementX, Nheko, FluffyChat, Siphon, Timmy, Gomuks, iyo codsiyada Pantalaimon.

Ogsoonow in arrimaha darnaanta muhiimka ahi ay yihiin arrimaha fulinta ee matrix-js-sdk iyo derivatives, mana aha arrimaha borotokoolka Matrixka. Nooca ugu dambeeyay ee xaashida cilmi-baarayaasha ee aan aragnay si qaldan ayaa u sifeeyay Cunsurka sida "macmiilka bartilmaameedka Matrix" oo ay ku jahwareeriyaan khaladaadka fulinta darnaanta sare iyo dhaleeceynta borotokoolka darnaanta hoose.

Waxaa jira saddex xaaladood weerarka ugu weyn:

  1. Maamulaha server-ka Matrix wuxuu jebin karaa xaqiijinta ku salaysan Emoji (SAS, Silsilad Xaqiijinta Gaaban) isagoo isticmaalaya saxiixyo isdhaafsan oo iska dhigaya isticmaale kale. Arrinka waxaa sababay dayacanka (CVE-2022-39250) ee ku jira koodhka matrix-js-sdk ee la xidhiidha isku darka maaraynta aqoonsiga aaladda iyo furayaasha saxeexa.
  2. Weeraryahan maamula server-ka waxa uu iska dhigi karaa soo dire la aamini karo oo u gudbin karaa fure been abuur ah si uu u dhexgalo fariimaha isticmaalayaasha kale. Arrintu waxaa sabab u ah nuglaanta ku jirta matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255), iyo matrix-android-sdk2 (CVE-2022-39248), taasoo keentay Macmiilku si khalad ah ayuu u aqbalaa fariimaha ku socda aaladaha sir ah isaga oo isticmaalaya hab-maamuuska Megolm halkii uu ka isticmaali lahaa Olm, isaga oo u nisbaynaya fariimaha soo diraha Megolm halkii uu ka ahaan lahaa soo diraha dhabta ah.
  3. Adigoo ka faa'iidaysanaya dayacanka lagu sheegay cutubkii hore, maamulaha serverku wuxuu sidoo kale ku dari karaa furaha firaaqada ah ee koontada isticmaalaha si uu u soo saaro furayaasha loo isticmaalo sirta fariimaha.

Cilmi-baarayaasha aqoonsaday baylahda sidoo kale waxay soo bandhigeen weerarro ku dara isticmaale qolo saddexaad wada sheekaysiga ama ku xidh qalab qolo saddexaad isticmaalaha. Weeraradu waxay ku saleysan yihiin xaqiiqda ah in fariimaha adeegga ee loo isticmaalo in lagu daro isticmaalayaasha sheekeysiga aysan ku xirneyn furaha abuuraha sheekaysiga waxaana soo saari kara maamulaha serverka.

Soosaarayaasha mashruuca Matrix waxay u kala saareen baylahdan kuwo yaryar, maadaama wax-is-daba-marin noocan oo kale ah aysan ku jirin Matrix oo kaliya waxay saameeyaan macaamiisha oo ku saleysan hab-maamuuska, laakiin tani macnaheedu maaha in aan la ogaan doonin: haddii isticmaale la beddelo, waxaa lagu tusi doonaa liiska isticmaaleyaasha sheekaysiga, iyo marka lagu daro. qalab, digniin ayaa la soo bandhigi doonaa oo qalabku waxa lagu calaamadin doonaa mid aan la xaqiijin (xaaladdan, isla markiiba ka dib marka lagu daro qalabka aan la oggolayn, waxay bilaabi doontaa helitaanka furayaasha dadweynaha ee loo baahan yahay si loo furfuro farriimaha.

Waxaad ogaan doontaa in matrix-rust-sdk, hydrogen-sdk, iyo jiilka XNUMXaad iyo XNUMXaad ee SDK-yada aysan saameyn ku yeelan dhiqlaha asalka u ah arrimaha muhiimka ah halkan. Tani waa sida saxda ah sababta aan uga shaqaynaynay in aan ku beddelno jiilka kowaad ee SDK-yada dhaqan-gelin nadiif ah oo taxaddar leh oo qoran oo Rust ah qaab matrix-rust-sdk ah, oo ay ku dhammaystiran tahay hanti-dhawrka guud ee madaxbannaan ee socda.

Nuglaanta waxaa sababa kutaannada fulinta shaqsiga ee borotokoolka Matrix iyo Dhibaato maaha borotokoolka laftiisa. Hadda, mashruucu waxa uu soo saaray cusboonaysiinta SDK-yada dhibka leh iyo qaar ka mid ah codsiyada macmiilka ee lagu dhisay dushooda.

Ugu dambeyntii haa waxaad xiisaynaysaa inaad wax badan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.