வருடாந்திர Pwnie Awards 2021 இன் வெற்றியாளர்கள் அறிவிக்கப்பட்டனர், இது ஒரு முக்கிய நிகழ்வாகும், இதில் பங்கேற்பாளர்கள் கணினி பாதுகாப்பு துறையில் மிக முக்கியமான பாதிப்புகள் மற்றும் அபத்தமான குறைபாடுகளை வெளிப்படுத்துகிறார்கள்.
Pwnie விருதுகள் தகவல் பாதுகாப்புத் துறையில் சிறந்து விளங்குதல் மற்றும் திறமையின்மை ஆகிய இரண்டையும் அவை அங்கீகரிக்கின்றன. தகவல் பாதுகாப்பு சமூகத்திலிருந்து சேகரிக்கப்பட்ட பரிந்துரைகளிலிருந்து பாதுகாப்புத் தொழில் வல்லுநர்களின் குழுவால் வெற்றியாளர்களைத் தேர்ந்தெடுக்கின்றனர்.
வெற்றியாளர்களின் பட்டியல்
சிறந்த சலுகை அதிகரிப்பு பாதிப்பு: இந்த விருது சூடோ பயன்பாட்டில் CVE-2021-3156 பாதிப்பை அடையாளம் காண்பதற்காக நிறுவனத்திற்கு குவாலிஸ் வழங்கப்பட்டதுஇது ரூட் சலுகைகளைப் பெற உங்களை அனுமதிக்கிறது. பாதிப்பு சுமார் 10 ஆண்டுகளாக குறியீட்டில் உள்ளது மற்றும் அதன் கண்டறிதலுக்கு பயன்பாட்டின் தர்க்கத்தின் முழுமையான பகுப்பாய்வு தேவை என்பது குறிப்பிடத்தக்கது.
சிறந்த சர்வர் பிழை: இந்த மிகவும் சிக்கலான தொழில்நுட்ப பிழையை கண்டறிந்து பயன்படுத்தியதற்காக வழங்கப்பட்டது மற்றும் ஒரு நெட்வொர்க் சேவையில் சுவாரஸ்யமானது. அடையாளம் காண்பதற்காக வெற்றி வழங்கப்பட்டது மைக்ரோசாப்ட் எக்ஸ்சேஞ்சுக்கு எதிரான தாக்குதல்களின் புதிய திசையன். இந்த வகுப்பில் உள்ள அனைத்து பாதிப்புகள் பற்றிய தகவல்களும் வெளியிடப்படவில்லை, ஆனால் CVE-2021-26855 (ProxyLogon) பாதிப்பு குறித்த தகவல் ஏற்கனவே வெளியிடப்பட்டுள்ளது, இது ஒரு தன்னிச்சையான பயனரின் தரவை அங்கீகாரம் இல்லாமல் மீட்டெடுக்க அனுமதிக்கிறது, மேலும் CVE-2021-27065, இது நிர்வாகி உரிமைகளுடன் ஒரு சேவையகத்தில் உங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
சிறந்த கிரிப்டோ தாக்குதல்: வழங்கப்பட்டது அமைப்புகளில் மிக முக்கியமான தோல்விகளை அடையாளம் காண, நெறிமுறைகள் மற்றும் உண்மையான குறியாக்க வழிமுறைகள். பரிசு எஃப்இது பாதிப்புக்காக மைக்ரோசாப்ட் நிறுவனத்திற்கு வெளியிடப்பட்டது (CVE-2020-0601) நீள்வட்ட வளைவு டிஜிட்டல் கையொப்பங்களை செயல்படுத்துவதில் பொது விசைகளின் அடிப்படையில் தனியார் விசைகளை உருவாக்க அனுமதிக்கிறது. இந்த சிக்கல் HTTPS மற்றும் போலி டிஜிட்டல் கையொப்பங்களுக்கு போலி டிஎல்எஸ் சான்றிதழ்களை உருவாக்க அனுமதித்தது, இது விண்டோஸ் நம்பகமானதாக சரிபார்க்கப்பட்டது.
மிகவும் புதுமையான ஆராய்ச்சி: பரிசு BlindSide முறையை முன்மொழிந்த ஆராய்ச்சியாளர்களுக்கு வழங்கப்பட்டது முகவரி சீரற்றமயமாக்கலின் (ASLR) பாதுகாப்பைத் தவிர்ப்பதற்கு, பக்கச் சேனல் கசிவுகளைப் பயன்படுத்தி, செயலி மூலம் அறிவுறுத்தல்களை ஊகப்படுத்துவதன் விளைவாக ஏற்படும்.
பெரும்பாலான காவிய FAIL பிழைகள்: வேலை செய்யாத பேட்சை பல முறை வெளியிட்டதற்காக மைக்ரோசாப்ட் நிறுவனத்திற்கு வழங்கப்பட்டது உங்கள் குறியீட்டை இயக்க அனுமதிக்கும் விண்டோஸ் அச்சு வெளியீட்டு அமைப்பில் PrintNightmare பாதிப்புக்காக (CVE-2021-34527). மைக்ரோசாப்ட் இது முதலில் இந்த பிரச்சினையை உள்ளூர் என்று கொடியிட்டது, ஆனால் பின்னர் தாக்குதல் தொலைதூரத்தில் நடத்தப்படலாம் என்று மாறியது. மைக்ரோசாப்ட் நான்கு முறை புதுப்பிப்புகளை வெளியிட்டது, ஆனால் ஒவ்வொரு முறையும் தீர்வு ஒரு சிறப்பு வழக்கை மட்டுமே உள்ளடக்கியது, மேலும் ஆராய்ச்சியாளர்கள் தாக்குதலை நடத்த ஒரு புதிய வழியைக் கண்டுபிடித்தனர்.
கிளையன்ட் மென்பொருளில் சிறந்த பிழை: அந்த விருது இருந்தது சாம்சங்கின் பாதுகாப்பான குறியாக்கவியலில் CVE-2020-28341 பாதிப்பைக் கண்டறிந்த ஒரு ஆராய்ச்சியாளருக்கு வழங்கப்பட்டது, CC EAL 5+ பாதுகாப்பு சான்றிதழ் பெற்றது. பாதிப்பு, பாதுகாப்பை முழுமையாகத் தவிர்ப்பதற்கும், சிப்பில் இயங்கும் குறியீட்டை அணுகுவதையும் மற்றும் என்க்ளேவில் சேமிக்கப்பட்ட தரவைப் பெறுவதையும், ஸ்கிரீன் சேவர் பூட்டைத் தவிர்ப்பதையும், மறைக்கப்பட்ட பின் கதவை உருவாக்க ஃபார்ம்வேரில் மாற்றங்களைச் செய்வதையும் சாத்தியமாக்கியது.
மிகவும் குறைத்து மதிப்பிடப்பட்ட பாதிப்பு: விருது இருந்தது எக்ஸிம் மெயில் சர்வரில் பல 21 நகங்கள் பாதிப்புகளை அடையாளம் காண குவாலிஸுக்கு வழங்கப்பட்டது, இதில் 10 தொலைதூரத்தில் பயன்படுத்தப்படலாம். எக்ஸிம் டெவலப்பர்கள் பிரச்சினைகளைச் சுரண்டுவதில் சந்தேகம் கொண்டிருந்தனர் மற்றும் தீர்வுகளை உருவாக்க 6 மாதங்களுக்கும் மேலாக செலவிட்டனர்.
உற்பத்தியாளரிடமிருந்து பலவீனமான பதில்: இது ஒரு நியமனம் உங்கள் சொந்த தயாரிப்பில் உள்ள பாதிப்பு அறிக்கைக்கு மிகவும் பொருத்தமற்ற பதிலுக்கு. வெற்றியாளர் சட்ட அமலாக்கத்திற்கான தடயவியல் மற்றும் தரவு சுரங்க பயன்பாடான செல்ல்பிரைட் ஆவார். சிக்னல் நெறிமுறையின் ஆசிரியரான மோக்ஸி மார்லின்ஸ்பைக் வெளியிட்ட பாதிப்பு அறிக்கைக்கு செல்லெப்ரைட் போதுமான அளவு பதிலளிக்கவில்லை. குறியாக்கப்பட்ட சிக்னல் செய்திகளை உடைக்க ஒரு தொழில்நுட்பத்தை உருவாக்குவது பற்றி ஒரு ஊடகக் கதையை வெளியிட்ட பிறகு மோக்ஸி செல்லெப்ரைட்டில் ஆர்வம் காட்டினார், பின்னர் அது பொய்யாக மாறியது, இது செல்லெப்ரைட் இணையதளத்தில் உள்ள கட்டுரையில் உள்ள தகவல்களின் தவறான விளக்கம் காரணமாக. "தாக்குதலுக்கு" தொலைபேசியின் உடல் அணுகல் மற்றும் திரையைத் திறக்கும் திறன் தேவை, அதாவது, அது மெசஞ்சரில் செய்திகளைப் பார்ப்பதற்கு குறைக்கப்பட்டது, ஆனால் கைமுறையாக அல்ல, ஆனால் பயனர் செயல்களை உருவகப்படுத்தும் ஒரு சிறப்பு பயன்பாட்டைப் பயன்படுத்துகிறது).
Moxie Cellebrite பயன்பாடுகளை ஆய்வு செய்தார் மற்றும் குறிப்பாக வடிவமைக்கப்பட்ட தரவை ஸ்கேன் செய்ய முயற்சிக்கும் போது தன்னிச்சையான குறியீட்டை செயல்படுத்த அனுமதிக்கும் முக்கியமான பாதிப்புகளை கண்டறிந்தார். 9 வருடங்களாக புதுப்பிக்கப்படாத காலாவதியான ffmpeg நூலகத்தைப் பயன்படுத்துகிறது மற்றும் அதிக எண்ணிக்கையில் இணைக்கப்படாத பாதிப்புகளைக் கொண்டுள்ளது என்ற உண்மையையும் Cellebrite பயன்பாடு வெளிப்படுத்தியது. சிக்கல்களை ஒப்புக் கொண்டு அவற்றை சரிசெய்வதற்குப் பதிலாக, Cellebrite ஒரு அறிக்கையை வெளியிட்டது, அது பயனர் தரவின் ஒருமைப்பாட்டில் அக்கறை கொண்டுள்ளது, அதன் தயாரிப்புகளின் பாதுகாப்பை சரியான அளவில் வைத்திருக்கிறது.
இறுதியாக மிகச்சிறந்த சாதனை - IDA பிரித்தெடுத்தல் மற்றும் ஹெக்ஸ் -ரேஸ் டிகம்பைலரின் ஆசிரியர் இல்பாக் கில்பனோவுக்கு வழங்கப்பட்டது, பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கான கருவிகளின் வளர்ச்சிக்கு அவரது பங்களிப்புக்காகவும், 30 வருடங்களுக்கு தயாரிப்பை புதுப்பித்த நிலையில் வைத்திருக்கும் திறனுக்காகவும்.
மூல: https://pwnies.com