ProHoster > بلاګ > انټرنیټ خبرونه > Pwnie Awards 2021: د پام وړ امنیتي زیانونه او ناکامۍ

Pwnie Awards 2021: د پام وړ امنیتي زیانونه او ناکامۍ

د 2021 کلني Pwnie جایزې ګټونکي ټاکل شوي ، د کمپیوټر امنیت په برخه کې خورا مهم زیانونه او بې ځایه ناکامۍ په ګوته کوي. د Pwnie جایزې د کمپیوټر امنیت کې د آسکر او گولډن راسبیري سره مساوي ګڼل کیږي.

اصلي ګټونکي (د کاندیدانو لیست):

  • د امتیازاتو د زیاتوالي زیانمنتیا غوره. بریا Qualys ته د سوډو یوټیلیټ کې د CVE-2021-3156 زیان مننې پیژندلو لپاره ورکړل شوې ، کوم چې د ریښو امتیازاتو ترلاسه کولو ته اجازه ورکوي. زیانمنتیا د شاوخوا 10 کلونو لپاره په کوډ کې شتون لري او د دې حقیقت لپاره د پام وړ دی چې د دې پیژندلو لپاره د کارونې منطق بشپړ تحلیل ته اړتیا وه.
  • غوره سرور بګ. د شبکې په خدمت کې د خورا تخنیکي پلوه پیچلي او په زړه پوري بګ پیژندلو او استخراج لپاره جایزه ورکړل شوه. بریا د مایکروسافټ ایکسچینج کې د بریدونو نوي ویکتور پیژندلو لپاره ورکړل شوې. د دې ټولګي د ټولو زیانونو په اړه معلومات ندي خپاره شوي، مګر د زیانمننې CVE-2021-26855 (ProxyLogon) په اړه معلومات لا دمخه افشا شوي، کوم چې د تصدیق کولو پرته د خپل سري کارونکي څخه ډاټا استخراج ته اجازه ورکوي، او CVE-2021-27065، کوم چې جوړوي. دا ممکنه ده چې ستاسو کوډ په سرور کې د مدیر حقونو سره اجرا کړئ.
  • غوره کریپټوګرافیک برید. په ریښتیني سیسټمونو ، پروتوکولونو ، او کوډ کولو الګوریتمونو کې د خورا مهم نیمګړتیاو پیژندلو لپاره جایزه ورکړل شوه. دا جایزه مایکروسافټ ته د ضعیف منحني ډیجیټل لاسلیکونو پلي کولو کې د زیان مننې (CVE-2020-0601) لپاره ورکړل شوې چې کولی شي د عامه کیلي څخه شخصي کیلي رامینځته کړي. ستونزې د HTTPS او جعلي ډیجیټل لاسلیکونو لپاره د جعلي TLS سندونو رامینځته کولو ته اجازه ورکړه ، کوم چې په وینډوز کې د باور وړ په توګه تایید شوي.
  • ډیری نوښتګر څیړنه. دا جایزه هغو څیړونکو ته ورکړل شوه چې د پروسیسر لخوا د لارښوونو د قیاس اجرا کولو په پایله کې د اړخ چینل لیکونو په کارولو سره د پتې تصادفي پراساس (ASLR) محافظت څخه تیرولو لپاره د BlindSide میتود وړاندیز کړی.
  • ترټولو لویه ناکامي (ډیری ایپیک FAIL). دا جایزه مایکروسافټ ته د وینډوز چاپ سیسټم کې د PrintNightmare (CVE-2021-34527) زیانمننې لپاره د څو خوشې کولو مات شوي فکس لپاره ورکړل شوې چې تاسو ته اجازه درکوي خپل کوډ اجرا کړئ. په لومړي سر کې، مایکروسافټ ستونزه د ځایی په توګه نښه کړه، مګر بیا وروسته معلومه شوه چې برید له لیرې ترسره کیدی شي. بیا مایکروسافټ څلور ځله تازه معلومات خپاره کړل ، مګر هر ځل فکس یوازې یوه ځانګړې قضیه وتړله ، او څیړونکو د برید ترسره کولو لپاره نوې لاره وموندله.
  • د پیرودونکي سافټویر کې غوره بګ. ګټونکی هغه څیړونکی و چې د خوندي سامسنګ کریپټو پروسیسرونو کې د CVE-2020-28341 زیان منونکي پیژندل شوي چې د CC EAL 5+ امنیت سند ترلاسه کړی. زیانمنتیا دا امکان رامینځته کړی چې په بشپړ ډول محافظت تیر کړي او په چپ کې اجرا شوي کوډ ته لاسرسی ومومي او په انکلیو کې زیرمه شوي ډیټا ، د سکرین سیور لاک بای پاس کړي ، او د پټ شاته دروازې رامینځته کولو لپاره فرم ویئر کې بدلونونه هم رامینځته کړي.
  • تر ټولو کم اټکل شوی زیان. دا جایزه Qualys ته د Exim میل سرور کې د 21Nails د زیانونو د لړۍ د پیژندلو لپاره ورکړل شوه، چې 10 یې د لیرې څخه ګټه اخیستل کیدی شي. د Exim پراختیا کونکي د ستونزو څخه د ګټې اخیستنې د احتمال په اړه شکمن وو او د 6 میاشتو څخه ډیر یې د اصلاحاتو رامینځته کولو کې مصرف کړل.
  • د تولید کونکي خورا لیمر عکس العمل (د لامسټ پلورونکي غبرګون). په خپل محصول کې د زیان مننې راپور ته د خورا نامناسب ځواب لپاره نومول. ګټونکی Cellebrite و، یو شرکت چې د قانون پلي کولو لپاره عدلي تحلیل او د معلوماتو کان کیندنې غوښتنلیکونه جوړوي. سیلیبرایټ د سیګنال پروتوکول لیکوال ، موکسی مارلینسپیک لخوا پوسټ شوي زیان منونکي راپور ته په نامناسب ډول ځواب ورکړ. موکسسي د یوې ټیکنالوژۍ رامینځته کولو په اړه د میډیا مقالې وروسته له سیلبریټ سره علاقه پیدا کړه چې د کوډ شوي سیګنال پیغامونو هیک کولو ته اجازه ورکوي ، کوم چې وروسته د سیلبریټ ویب پا onه کې په یوه مقاله کې د معلوماتو د غلط تفسیر له امله جعلي وګرځید ، کوم چې وروسته لرې شو (" برید" تلیفون ته فزیکي لاسرسي او د سکرین خلاصولو وړتیا ته اړتیا لري ، د بیلګې په توګه په میسنجر کې د پیغامونو لیدو ته کم شوی ، مګر په لاسي ډول نه ، مګر د ځانګړي غوښتنلیک کارول چې د کارونکي عملونه سموي).

    موکسسي د سیلبریټ غوښتنلیکونه مطالعه کړل او هلته یې جدي زیانونه وموندل چې د ځانګړي ډیزاین شوي ډیټا سکین کولو هڅه کولو پرمهال د خپل سري کوډ اجرا کولو ته اجازه ورکړه. د Cellebrite غوښتنلیک هم وموندل شو چې د زاړه ffmpeg کتابتون په کارولو سره چې د 9 کلونو لپاره نه دی تازه شوی او لوی شمیر ناپیل شوي زیانونه لري. د ستونزو د منلو او حل کولو پرځای، Celebrite یو بیان خپور کړ چې دا د کاروونکي ډیټا بشپړتیا ته پاملرنه کوي، په مناسبه کچه د خپلو محصولاتو امنیت ساتي، منظم تازه معلومات خپروي او د خپل ډول غوره غوښتنلیکونه وړاندې کوي.

  • ستره لاسته راوړنه. دا جایزه د IDA تحلیل کونکي لیکوال او د هیکس-رایز ډیکمپیلر لیکوال ایلفاک ګیلفانوف ته د امنیت څیړونکو لپاره د وسیلو په پراختیا کې د هغه د ونډې او د 30 کلونو لپاره د محصول تازه ساتلو وړتیا لپاره ورکړل شوې.

سرچینه: opennet.ru

Add a comment