Ku guuleystayaasha Abaalmarinta Pwnie ee sanadlaha ah 2021 ayaa lagu dhawaaqay, taasoo muujineysa nuglaanshaha ugu muhiimsan iyo guuldarrooyinka macquulka ah ee amniga kumbuyuutarka. Abaalmarinta Pwnie waxaa loo arkaa inay u dhiganto Oscars iyo Raspberries Dahabka ah ee dhinaca amniga kumbuyuutarka.
Guuleystayaasha ugu waaweyn (liiska tartamayaasha):
- Nuglaanshaha ugu wanaagsan ee keenaya mudnaanta mudnaanta. Guusha waxaa la siiyay Qualys si ay u aqoonsato nuglaanshaha CVE-2021-3156 ee utility sudo, kaas oo kuu ogolaanaya inaad hesho mudnaanta xididka. Nuglaanta ayaa ku jirtay koodka ilaa 10 sano waxaana xusid mudan in aqoonsigaasi uu u baahday in si qotodheer loo falanqeeyo macquulka utility-ga.
- Cilad server-ka ugu fiican Lagu abaalmariyo aqoonsashada iyo ka faa'iidaysiga dhiqlaha ugu farsamada badan uguna xiisaha badan ee adeega shabakada Guusha ayaa lagu abaalmariyay aqoonsiga hugaamiye cusub ee weerarrada Microsoft Exchange. Macluumaadka ku saabsan dhammaan dayacanka fasalkan lama daabicin, laakiin macluumaadka ayaa horay loo shaaciyay nuglaanta CVE-2021-26855 (ProxyLogon), taas oo kuu ogolaanaysa inaad soo saarto xogta isticmaale aan sharci ahayn iyadoon la hubin, iyo CVE-2021-27065 , taas oo suurtogal ka dhigaysa in lagu fuliyo koodka server-ka oo leh xuquuqda maamulaha.
- Weerarkii ugu fiicnaa ee cryptographic. Lagu abaalmariyo aqoonsashada faraqyada ugu muhiimsan ee nidaamyada dhabta ah, hab-maamuuska iyo algorithms-ka sireed Abaalmarinta waxaa lagu abaalmariyay Microsoft u nuglaanshaha (CVE-2020-0601) ee hirgelinta saxiixyada dhijitaalka ah ee ku saleysan qalloocyada elliptical, kaas oo u oggolaanaya abuurista furayaasha gaarka ah ee ku saleysan furayaasha dadweynaha. Arrintu waxay ogolaatay abuurista shahaadooyin TLS been abuur ah oo HTTPS ah iyo saxeexyo dhijitaal ah oo khiyaali ah oo ay Windows u xaqiijisay inay aamin tahay.
- Cilmi-baadhistii ugu cusbayd abid. Abaalmarinta waxaa la siiyay cilmi-baarayaal soo jeediyay habka BlindSide si looga gudbo ilaalinta randomization-ku-saleysan cinwaanka (ASLR) iyadoo la adeegsanayo daadinta kanaalka-dhinac ee ka dhashay processor-ka mala-awaalka ah ee fulinta tilmaamaha.
- Fashilka ugu weyn (Fashilka ugu badan ee Epic). Abaalmarinta waxaa la siiyay Microsoft si isdaba joog ah u siidaayay hagaajinta jaban ee nuglaanta PrintNightmare (CVE-2021-34527) ee nidaamka daabacaadda Windows ee u oggolaaday fulinta koodka. Microsoft ayaa markii hore u calaamadisay dhibaatada mid maxalli ah, laakiin ka dib waxaa soo baxday in weerarka lagu qaadi karo meel fog. Kadib Microsoft ayaa daabacday cusboonaysiinta afar jeer, laakiin mar kasta hagaajintu waxay xidhay kaliya kiis gaar ah cilmi-baarayaashuna waxay heleen hab cusub oo ay ku fuliyaan weerarka.
- Cayayaanka ugu fiican ee software macmiilka. Guuleystaha ayaa ahaa cilmi-baarihii aqoonsaday nuglaanta CVE-2020-28341 ee Samsung ammaan ah soo-saareyaasha crypto, kaasoo helay shahaadada amniga CC EAL 5+. Nuglaanta ayaa suurto gelisay in gabi ahaanba laga gudbo amniga oo la helo koodka ku shaqeeya chip-ka iyo xogta lagu kaydiyay goobta, lagana gudbo qufulka shaashadda, iyo sidoo kale in isbeddel lagu sameeyo firmware-ka si loo abuuro albaab dambe oo qarsoon.
- Nuglaanta ugu badan ee la dhayalsado. Abaalmarintan waxaa lagu abaalmariyay Qualys si ay u aqoonsato dayacanka 21 cidiyaha ee taxanaha ah ee Exim mail server, 10 ka mid ah ayaa laga faa'iidaysan karaa meel fog. Horumarinta Exim waxay ka shakiyeen in dhibaatooyinka laga faa'iidaysan karo oo ay ku bixiyeen in ka badan 6 bilood hagaajinta hagaajinta.
- Jawaabta Iibiyaha Lamest. Magacaabista jawaabta ugu filnayn ee fariinta ku saabsan baylahda alaabtaada. Guulaystaha waxa uu ahaa Cellebrite, oo ah shirkad abuurta codsiyada baadhista baadhista iyo soo saarista xogta wakaaladaha fulinta sharciga. Cellebrite si waafi ah ugamay jawaabin warbixinta nuglaanshaha uu soo diray Moxie Marlinspike, oo ah qoraaga hab-maamuuska Signal. Moxey waxa uu xiiseeyey Cellebrite ka dib markii lagu daabacay warbaahinta qoraal ku saabsan abuurista tignoolajiyada saamaxaysa in la jabsado fariimaha sirta ah ee Signal-ka, taas oo markii dambe noqotay been abuur ka dib markii si khaldan loo fasiray xogta maqaal lagu qoray website-ka Cellebrite, kaas oo ahaa ka dibna meesha laga saaro ("weerarku" wuxuu u baahan yahay helitaanka jireed ee taleefanka iyo awoodda looga saaro shaashadda qufulka, ie. waxaa la dhimay si loo daawado farriimaha ku jira farriinta, laakiin ma aha gacanta, laakiin iyadoo la adeegsanayo codsi gaar ah oo ka dhigaya ficillada isticmaalaha).
Moxey wuxuu bartay codsiyada Cellebrite wuxuuna halkaas ka helay nuglaanta halista ah ee u ogolaatay in kood la fuliyo marka la isku dayo in la sawiro xogta sida gaarka ah loo qaabeeyey. Codsiga Cellebrite waxaa sidoo kale la ogaaday inuu isticmaalayey maktabad ffmpeg ah oo duugowday oo aan la cusboonaysiin 9 sano oo ay ku jiraan tiro badan oo dayacan oo aan la daboolin. Halkii laga aqbali lahaa dhibaatooyinka iyo hagaajinta dhibaatooyinka, Cellebrite waxay soo saartay bayaan ah in ay danayso daacadnimada xogta isticmaalaha, ilaalinta amniga alaabteeda heerka saxda ah, si joogto ah u siidaaya cusbooneysiinta iyo bixinta codsiyada ugu fiican ee nooceeda ah.
- Guusha ugu weyn. Abaalmarinta waxaa la siiyay Ilfak Gilfanov, oo ah qoraaga IDA disassembler iyo Hex-Ray decompiler, wax ku biirintiisa horumarinta qalabka cilmi-baarayaasha amniga iyo awoodda uu u leeyahay in uu sii wado badeecada cusub ee sanadaha 30.
Source: opennet.ru