Wọn ṣe awari ipalara kan ni Pling ti o kan KDE Store, OpenDesktop, AppImage ati awọn ile itaja miiran

Ibẹrẹ kan lati ilu Berlin ti fi han palara ipaniyan ipaniyan latọna jijin (RCE) ati abawọn aaye-agbelebu kan (XSS) ni Pling, eyiti o lo ni awọn iwe ipolowo ohun elo ti a ṣe lori pẹpẹ yii ati eyiti o le gba koodu JavaScript laaye lati pa ni ipo ti awọn olumulo miiran. Awọn aaye ti o kan jẹ diẹ ninu awọn katalogi ohun elo sọfitiwia ọfẹ akọkọ gẹgẹbi store.kde.org, appimagehub.com, gnome-look.org, xfce-look.org, pling.com laarin awọn miiran.

Aabo Daradara, eyiti o wa awọn ihò naa, sọ pe awọn idun ṣi wa ninu koodu Pling ati pe awọn olutọju rẹ ko dahun si awọn iroyin ipalara.

Ni ibẹrẹ ọdun yii, a wo bi awọn ohun elo tabili olokiki ti ṣe mu awọn URI ti a pese olumulo ati ri awọn ailagbara ipaniyan koodu ni ọpọlọpọ ninu wọn. Ọkan ninu awọn ohun elo ti Mo ṣayẹwo ni KDE Discover App Store, eyiti o wa lati mu awọn URI ti ko ni igbẹkẹle ni ọna ti ko ni aabo (CVE-2021-28117, KDE Security Advisory).

Ni ọna, Mo yara rii ọpọlọpọ awọn ailagbara to ṣe pataki julọ ni awọn ọja sọfitiwia ọfẹ miiran.

XSS kan ti o ni idamu pẹlu agbara fun awọn ikọlu ipese pq ni awọn ọja ti o da lori Pling ati awakọ-nipasẹ RCE ti o kan awọn olumulo ti ohun elo PlingStore tun le jẹ yanturu.

Pling ṣafihan ararẹ bi ọjà fun awọn ẹda lati gbe awọn akori ati awọn aworan pọ si Tabili Linux, laarin awọn ohun miiran, nireti lati ni ere diẹ lati ọdọ awọn alatilẹyin. O wa ni awọn ẹya meji: koodu ti o nilo lati ṣiṣẹ bazaari bling ti ara wọn ati ohun elo ti o da lori Itanna ti awọn olumulo le fi sori ẹrọ lati ṣakoso awọn akori wọn lati ọdọ Puk souk kan. Koodu wẹẹbu ni XSS ati pe alabara ni XSS ati RCE kan. Pling agbara awọn aaye pupọ, lati pling.com ati store.kde.org si gnome-look.org ati xfce-look.org.

Kokoro ti iṣoro naa ni pe Syeed Pling ngbanilaaye afikun ti awọn bulọọki multimedia ni ọna kika HTML, fun apẹẹrẹ, lati fi fidio tabi aworan YouTube sii. Koodu ti a ṣafikun nipasẹ fọọmu naa ko fọwọsi o ti tọ, kini gba ọ laaye lati ṣafikun koodu irira labẹ itanjẹ aworan kan ki o fi alaye sinu itọsọna ti koodu JavaScript yoo ṣiṣẹ nigbati o ba wo. Ti alaye naa yoo ṣii si awọn olumulo ti o ni akọọlẹ kan, lẹhinna o ṣee ṣe lati bẹrẹ awọn iṣe ninu itọsọna ni orukọ olumulo yii, pẹlu fifi ipe JavaScript kan si awọn oju-iwe wọn, ṣiṣe iru alajerun nẹtiwọọki kan.

Bakannaa, a ti ṣe akiyesi ipalara kan ninu ohun elo PlingStore, kọ nipa lilo pẹpẹ Electron ati gbigba ọ laaye lati lilö kiri nipasẹ awọn ilana OpenDesktop laisi ẹrọ aṣawakiri kan ati fi awọn idii ti a gbekalẹ sibẹ sii. Ipalara kan ni PlingStore ngbanilaaye koodu rẹ lati ṣiṣẹ lori eto olumulo.

Nigbati ohun elo PlingStore ba n ṣiṣẹ, ilana ocs-faili ti bẹrẹ ni afikun, gbigba awọn isopọ agbegbe nipasẹ WebSocket ati ṣiṣe awọn ofin bi ikojọpọ ati awọn ohun elo ifilọlẹ ni ọna kika AppImage. O yẹ ki awọn aṣẹ naa gbejade nipasẹ ohun elo PlingStore, ṣugbọn ni otitọ, nitori aini ijẹrisi, a le firanṣẹ ibeere kan si oluṣakoso ocs lati aṣàwákiri aṣàmúlò. Ti olumulo kan ba ṣii aaye irira, wọn le bẹrẹ asopọ kan pẹlu ocs-faili ati jẹ ki koodu ṣiṣe lori eto olumulo.

Ipalara XSS kan tun ni ijabọ ninu itọsọna extensions.gnome.org; Ni aaye pẹlu URL ti oju-iwe ile ohun itanna, o le ṣọkasi koodu JavaScript kan ninu ọna kika "javascript: koodu" ati pe nigbati o ba tẹ ọna asopọ naa, JavaScript ti o ṣalaye yoo ṣe ifilọlẹ dipo ṣiṣi aaye iṣẹ akanṣe.

Ni apa kan, iṣoro naa jẹ iṣiro diẹ sii. Ni apa keji, lakoko iṣeduro, adari le fẹ lati lọ si aaye iṣẹ akanṣe, foju iru ọna asopọ, ati ṣiṣe koodu JavaScript ni ipo ti akọọlẹ wọn.

Lakotan, ti o ba nifẹ lati mọ diẹ sii nipa rẹ, o le kan si alagbawo awọn alaye ni ọna asopọ atẹle.

 


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.