Ua aveese e Microsoft mai GitHub le code (kopi) faʻatasi ai ma se faʻataʻitaʻiga faʻaaogaina e faʻaalia ai le mataupu faavae o le faʻaogaina o se faʻafitauli matuia i Microsoft Exchange. O lenei gaioiga na mafua ai le ita i le tele o tagata suʻesuʻe saogalemu, ona o le faʻataʻitaʻiga o le faʻaogaina na faʻasalalau ina ua maeʻa le tuʻuina atu o le patch, lea e masani ai.
O tulafono a GitHub o loʻo i ai se fuaiupu e faʻasaina ai le tuʻuina atu o tulafono leaga poʻo le faʻaogaina (e pei o na osofaʻiga faʻaoga faiga) i totonu o fale teu oloa, faʻapea foʻi ma le faʻaogaina o le GitHub o se faʻavae mo le tuʻuina atu o faʻaoga ma tulafono leaga i taimi o osofaʻiga. Ae o lenei tulafono e leʻi faʻaaogaina muamua i faʻataʻitaʻiga faʻataʻitaʻiga a le au suʻesuʻe na faʻasalalau faʻasalalau e faʻavasega auala osofaʻi pe a uma ona tuʻuina atu e se tagata faʻatau se patch.
Talu ai e masani ona le aveesea ia code, o gaioiga a GitHub na iloa e pei o Microsoft o loʻo faʻaogaina punaoa tau pulega e poloka ai faʻamatalaga e uiga i le faʻaleagaina o ana oloa. Ua tu'ua'ia e le au faitio ia Microsoft i tulaga fa'alua ma le fa'asalaina o mea e fiafia tele i le fa'alapotopotoga o su'esu'ega mo le puipuiga ona o mea e fa'aleagaina ai mea e fiafia i ai Microsoft. E tusa ai ma se sui o le Google Project Zero team, o le faʻataʻitaʻiga o le lolomiina o faʻataʻitaʻiga faʻapitoa e faʻamaonia ma o le manuia e sili atu nai lo le lamatiaga, talu ai e leai se auala e faʻasoa ai faʻamatalaga suʻesuʻega ma isi tagata tomai faapitoa e aunoa ma lenei faʻamatalaga paʻu i lima o tagata osofaʻi.
O se tagata suʻesuʻe mai Kryptos Logic na taumafai e tetee, ma faʻailoa mai i se tulaga o loʻo i ai pea le sili atu i le 50 afe Microsoft Exchange servers e leʻi faʻafouina i luga o le upega tafaʻilagi, o le lolomiina o faʻataʻitaʻiga faʻaogaina ua sauni mo osofaʻiga e foliga masalosalo. O le afaina o le vave lolomiina o faʻaoga e mafai ona mafua ai e sili atu le aoga mo tagata suʻesuʻe saogalemu, talu ai o ia faʻaogaina e faʻaalia ai le tele o sapalai e leʻi faʻafouina.
Na faaalia e sui o GitHub le aveesea o se soliga o le Acceptable Use Policies ma fai mai latou te malamalama i le taua o le lolomiina o faʻataʻitaʻiga faʻaoga mo suʻesuʻega ma aʻoaʻoga, ae latou te iloa foi le lamatiaga o le faʻaleagaina e mafai ona latou faia i lima o tagata osofaʻi. O le mea lea, GitHub o loʻo taumafai e suʻe le paleni sili ona lelei i le va o mea e fiafia i ai le sosaiete suʻesuʻega saogalemu ma le puipuiga o tagata e ono afaina. I lenei tulaga, o le lolomiina o se faʻaoga talafeagai mo le faia o osofaʻiga, pe a iai se numera tele o faiga e leʻi faʻafouina, ua manatu e solia tulafono GitHub.
E maitauina na amata osofaʻiga ia Ianuari, aʻo leʻi leva ona tuʻuina atu le faʻaleleia ma le faʻaalia o faʻamatalaga e uiga i le i ai o le faʻafitauli (0-aso). Aʻo leʻi faʻasalalau le faʻataʻitaʻiga faʻapitoa, e tusa ma le 100 afe sapalai ua uma ona osofaʻia, lea na faʻapipiʻiina ai se faitotoa pito i tua mo le mamao mamao.
O se faʻataʻitaʻiga faʻaoga mamao a GitHub na faʻaalia ai le faʻafitauli o le CVE-2021-26855 (ProxyLogon), lea e faʻatagaina ai faʻamatalaga o se tagata faʻaoga faʻapitoa e aveese e aunoa ma le faʻamaonia. A tu'ufa'atasia ma le CVE-2021-27065, o le fa'aletonu na fa'atagaina ai fo'i le fa'atinoina o le code i luga o le 'au'aunaga ma aia tatau a le pule.
E le o fa'aoga uma ua aveese; mo se fa'ata'ita'iga, o se fa'ata'ita'iga fa'afaigofie o se isi fa'aoga na fa'atupuina e le 'au GreyOrder o lo'o tumau pea ile GitHub. O le faʻamatalaga faʻaoga o loʻo taʻua ai o le uluai GreyOrder exploit na aveese ina ua maeʻa faʻaopoopo galuega faʻaopoopo i le code e faʻamauina ai tagata faʻaoga i luga o le meli meli, lea e mafai ona faʻaaogaina e faia ai osofaʻiga tele i kamupani e faʻaaoga ai Microsoft Exchange.
puna: opennet.ru