Pavel Cheremushkin kutoka Kaspersky Lab utekelezaji mbalimbali wa mfumo wa upatikanaji wa kijijini wa VNC (Virtual Network Computing) na kutambua udhaifu 37 unaosababishwa na matatizo wakati wa kufanya kazi na kumbukumbu. Athari zilizobainishwa katika utekelezaji wa seva ya VNC zinaweza tu kutumiwa na mtumiaji aliyeidhinishwa, na mashambulizi dhidi ya udhaifu katika msimbo wa mteja yanawezekana mtumiaji anapounganisha kwenye seva inayodhibitiwa na mvamizi.
Idadi kubwa zaidi ya athari zinazopatikana kwenye kifurushi , inapatikana kwa jukwaa la Windows pekee. Jumla ya udhaifu 22 umetambuliwa katika UltraVNC. Athari 13 zinaweza kusababisha utekelezaji wa msimbo kwenye mfumo, 5 hadi uvujaji wa kumbukumbu, na 4 kunyimwa huduma.
Athari za kiusalama zimewekwa katika toleo .
Katika maktaba wazi (LibVNCServer na LibVNCClient), ambayo katika VirtualBox, udhaifu 10 umetambuliwa.
5 udhaifu (, , , , ) husababishwa na kufurika kwa bafa na kunaweza kusababisha utekelezaji wa msimbo. Udhaifu 3 unaweza kusababisha uvujaji wa habari, 2 kwa kunyimwa huduma.
Shida zote tayari zimewekwa na watengenezaji, lakini mabadiliko bado tu katika tawi la bwana.
Π (tawi la urithi la jukwaa lililopimwa , kwa kuwa toleo la sasa la 2.x limetolewa kwa Windows pekee), udhaifu 4 uligunduliwa. Matatizo matatu (, , ) husababishwa na kufurika kwa bafa katika InitialiseRFBConnection, rfbServerCutText, na vitendaji vya HandleCoRREBBP, na kunaweza kusababisha utekelezaji wa msimbo. Tatizo moja () husababisha kunyimwa huduma. Ingawa watengenezaji wa TightVNC walikuwa kuhusu matatizo mwaka jana, udhaifu huo bado haujarekebishwa.
Katika kifurushi cha jukwaa la msalaba (uma ya TightVNC 1.3 inayotumia maktaba ya libjpeg-turbo), ni hatari moja tu iliyopatikana (), lakini ni hatari na, ikiwa una ufikiaji ulioidhinishwa kwa seva, inafanya uwezekano wa kuandaa utekelezaji wa nambari yako, kwani ikiwa buffer inapita, inawezekana kudhibiti anwani ya kurudi. Tatizo limetatuliwa na haionekani katika toleo la sasa .
Chanzo: opennet.ru