37 mau nāwaliwali i nā hoʻokō VNC like ʻole

ʻO Pavel Cheremushkin mai Kaspersky Lab kālailai ʻia nā hoʻokō like ʻole o ka ʻōnaehana mamao VNC (Virtual Network Computing) a ʻike ʻia 37 mau nāwaliwali i hoʻokumu ʻia e nā pilikia i ka wā e hana ana me ka hoʻomanaʻo. Hiki ke hoʻohana wale ʻia nā mea ʻino i ʻike ʻia ma ka hoʻokō kikowaena VNC e ka mea hoʻohana i hōʻoia ʻia, a hiki ke hoʻouka ʻia i nā nāwaliwali o ka code client ke hoʻopili ka mea hoʻohana i kahi kikowaena i mālama ʻia e ka mea hoʻouka.

ʻO ka helu nui loa o nā nāwaliwali i loaʻa i ka pūʻolo HāʻUVNC, loaʻa wale no ka paepae Windows. Ua ʻike ʻia he 22 mau mea nāwaliwali ma UltraVNC. Hiki i nā vulnerabilities 13 ke alakaʻi i ka hoʻokō code ma ka ʻōnaehana, 5 i nā leaks hoʻomanaʻo, a me 4 i ka hōʻole ʻana i ka lawelawe.
Hoʻopaʻa ʻia nā vulnerabilities i ka hoʻokuʻu ʻana 1.2.3.0.

Ma ka hale waihona puke hāmama LibVNC (LibVNCServer a me LibVNCClient), ʻo ia i ʻ a? ma VirtualBox, ua ʻike ʻia he 10 mau nāwaliwali.
5 mau pilikia (CVE-2018-20020, CVE-2018-20019, CVE-2018-15127, CVE-2018-15126, CVE-2018-6307) ua hoʻokumu ʻia e ka buffer overflow a hiki ke alakaʻi i ka hoʻokō code. Hiki i nā mea palupalu 3 ke alakaʻi i ka leakage ʻike, 2 i ka hōʻole ʻana i ka lawelawe.
Ua hoʻoponopono ʻia nā pilikia āpau e nā mea hoʻomohala, akā mau nā loli noonooia ma ka lala kumu wale no.

В ʻUkiʻiVNC (i hoʻāʻo ʻia ka lālā hoʻoilina cross-platform 1.3, ʻoiai ua hoʻokuʻu ʻia ka mana o kēia manawa 2.x no Windows wale nō), 4 mau mea nāwaliwali i ʻike ʻia. ʻEkolu pilikia (CVE-2019-15679, CVE-2019-15678, CVE-2019-8287) ma muli o ka nui o ka buffer ma nā hana InitialiseRFBConnection, rfbServerCutText, a me HandleCoRREBBP, a hiki ke alakaʻi i ka hoʻokō code. Hoʻokahi pilikia (CVE-2019-15680) alakaʻi i ka hōʻole ʻana i ka lawelawe. ʻOiai nā mea hoʻomohala TightVNC hoʻolaha ʻia e pili ana i nā pilikia i ka makahiki i hala, ʻaʻole i hoʻoponopono ʻia nā nāwaliwali.

I loko o kahi pūʻolo palani keʻa TurboVNC (he mākia o TightVNC 1.3 e hoʻohana ana i ka waihona libjpeg-turbo), hoʻokahi wale nō nāwaliwali i loaʻa (CVE-2019-15683), akā he mea pōʻino a, inā ʻoe i hōʻoia i ke komo ʻana i ke kikowaena, hiki iā ia ke hoʻonohonoho i ka hoʻokō ʻana i kāu code, no ka mea, inā e hoʻonui ka buffer, hiki ke hoʻomalu i ka helu hoʻihoʻi. Hoʻoholo ʻia ka pilikia 23 Aug a ʻaʻole ʻike ʻia ma ka hoʻokuʻu ʻana i kēia manawa 2.2.3.

Source: opennet.ru