புரோஹோஸ்டர் > Блог > இணைய செய்தி > Pwnie விருதுகள் 2021: மிக முக்கியமான பாதுகாப்பு பாதிப்புகள் மற்றும் தோல்விகள்

Pwnie விருதுகள் 2021: மிக முக்கியமான பாதுகாப்பு பாதிப்புகள் மற்றும் தோல்விகள்

கம்ப்யூட்டர் பாதுகாப்புத் துறையில் மிகவும் குறிப்பிடத்தக்க பாதிப்புகள் மற்றும் அபத்தமான தோல்விகளை எடுத்துக்காட்டி, வருடாந்திர Pwnie விருதுகள் 2021 இன் வெற்றியாளர்கள் தீர்மானிக்கப்பட்டுள்ளனர். Pwnie விருதுகள் கணினி பாதுகாப்பில் ஆஸ்கார் மற்றும் கோல்டன் ராஸ்பெர்ரிக்கு சமமானதாகக் கருதப்படுகிறது.

முக்கிய வெற்றியாளர்கள் (போட்டியாளர்களின் பட்டியல்):

  • சிறந்த சலுகை அதிகரிப்பு பாதிப்பு. ரூட் சலுகைகளைப் பெற அனுமதிக்கும் சூடோ பயன்பாட்டில் உள்ள பாதிப்பு CVE-2021-3156 ஐக் கண்டறிந்ததற்காக Qualys க்கு இந்த வெற்றி வழங்கப்பட்டது. இந்த பாதிப்பு சுமார் 10 ஆண்டுகளாக குறியீட்டில் உள்ளது மற்றும் அதை அடையாளம் காண பயன்பாட்டின் தர்க்கத்தின் முழுமையான பகுப்பாய்வு தேவைப்பட்டது என்பது குறிப்பிடத்தக்கது.
  • சிறந்த சர்வர் பிழை. நெட்வொர்க் சேவையில் தொழில்நுட்ப ரீதியாக மிகவும் சிக்கலான மற்றும் சுவாரசியமான பிழையை கண்டறிந்து பயன்படுத்தியதற்காக விருது வழங்கப்பட்டது. மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் மீதான தாக்குதல்களின் புதிய திசையனைக் கண்டறிந்ததற்காக இந்த வெற்றி வழங்கப்பட்டது. இந்த வகுப்பின் அனைத்து பாதிப்புகள் பற்றிய தகவல் வெளியிடப்படவில்லை, ஆனால் பாதிப்பு CVE-2021-26855 (ProxyLogon), அங்கீகாரம் இல்லாமல் தன்னிச்சையான பயனரிடமிருந்து தரவைப் பிரித்தெடுக்க அனுமதிக்கும் பாதிப்பு மற்றும் CVE-2021-27065 பற்றிய தகவல்கள் ஏற்கனவே வெளியிடப்பட்டுள்ளன. நிர்வாகி உரிமைகள் கொண்ட சர்வரில் உங்கள் குறியீட்டை இயக்க முடியும்.
  • சிறந்த கிரிப்டோகிராஃபிக் தாக்குதல். உண்மையான அமைப்புகள், நெறிமுறைகள் மற்றும் குறியாக்க வழிமுறைகளில் மிகவும் குறிப்பிடத்தக்க குறைபாடுகளைக் கண்டறிந்ததற்காக வழங்கப்பட்டது. பொது விசைகளிலிருந்து தனிப்பட்ட விசைகளை உருவாக்கக்கூடிய நீள்வட்ட வளைவு டிஜிட்டல் கையொப்பங்களை செயல்படுத்துவதில் (CVE-2020-0601) பாதிப்புக்கு மைக்ரோசாப்ட் விருது வழங்கப்பட்டது. சிக்கல் HTTPSக்கான போலி TLS சான்றிதழ்களை உருவாக்க அனுமதித்தது மற்றும் கற்பனையான டிஜிட்டல் கையொப்பங்கள், இவை Windows இல் நம்பகமானவை என சரிபார்க்கப்பட்டது.
  • மிகவும் புதுமையான ஆராய்ச்சி. செயலியின் ஊகச் செயல்பாட்டின் விளைவாக பக்க-சேனல் கசிவுகளைப் பயன்படுத்தி முகவரி ரேண்டமைசேஷன் அடிப்படையிலான (ASLR) பாதுகாப்பைத் தவிர்ப்பதற்கான BlindSide முறையை முன்மொழிந்த ஆராய்ச்சியாளர்களுக்கு விருது வழங்கப்பட்டது.
  • மிகப்பெரிய தோல்வி (Most Epic FAIL). உங்கள் குறியீட்டை இயக்க அனுமதிக்கும் Windows பிரிண்டிங் சிஸ்டத்தில் உள்ள PrintNightmare (CVE-2021-34527) பாதிப்புக்கான பல-வெளியீடு உடைந்த தீர்விற்காக Microsoft க்கு விருது வழங்கப்பட்டது. முதலில், மைக்ரோசாப்ட் இந்த சிக்கலை உள்ளூர் என்று கொடியிட்டது, ஆனால் பின்னர் தாக்குதல் தொலைதூரத்தில் மேற்கொள்ளப்படலாம் என்று மாறியது. மைக்ரோசாப்ட் நான்கு முறை புதுப்பிப்புகளை வெளியிட்டது, ஆனால் ஒவ்வொரு முறையும் பிழைத்திருத்தம் ஒரு சிறப்பு வழக்கை மட்டுமே மூடியது, மேலும் ஆராய்ச்சியாளர்கள் தாக்குதலை மேற்கொள்ள ஒரு புதிய வழியைக் கண்டறிந்தனர்.
  • கிளையன்ட் மென்பொருளில் சிறந்த பிழை. CC EAL 2020+ பாதுகாப்புச் சான்றிதழைப் பெற்ற பாதுகாப்பான Samsung கிரிப்டோ செயலிகளில் CVE-28341-5 பாதிப்பைக் கண்டறிந்த ஆராய்ச்சியாளர் வெற்றியாளர் ஆவார். பாதிப்பானது பாதுகாப்பை முற்றிலும் புறக்கணித்து, சிப்பில் செயல்படுத்தப்பட்ட குறியீடு மற்றும் என்கிளேவில் சேமிக்கப்பட்ட தரவுக்கான அணுகலைப் பெறவும், ஸ்கிரீன் சேவர் பூட்டைக் கடந்து, மறைந்த பின்கதவை உருவாக்க ஃபார்ம்வேரில் மாற்றங்களைச் செய்யவும் சாத்தியமாக்கியது.
  • மிகவும் குறைத்து மதிப்பிடப்பட்ட பாதிப்பு. Exim அஞ்சல் சேவையகத்தில் உள்ள 21 நகங்கள் பாதிப்புகளின் தொடர்களைக் கண்டறிந்ததற்காக Qualys க்கு இந்த விருது வழங்கப்பட்டது, அவற்றில் 10 தொலைதூரத்தில் பயன்படுத்தப்படலாம். எக்சிம் டெவலப்பர்கள் சிக்கல்களைச் சுரண்டுவதற்கான சாத்தியக்கூறுகள் குறித்து சந்தேகம் கொண்டிருந்தனர் மற்றும் 6 மாதங்களுக்கும் மேலாக திருத்தங்களை உருவாக்கினர்.
  • உற்பத்தியாளரின் மிகவும் லேமர் எதிர்வினை (Lamest Vendor Response). ஒருவரின் சொந்த தயாரிப்பில் உள்ள பாதிப்பு அறிக்கைக்கு மிகவும் பொருத்தமற்ற பதிலுக்கான பரிந்துரை. சட்ட அமலாக்கத்திற்கான தடயவியல் பகுப்பாய்வு மற்றும் தரவுச் செயலாக்க பயன்பாடுகளை உருவாக்கும் செலிபிரைட் நிறுவனம் வெற்றி பெற்றது. சிக்னல் நெறிமுறையின் ஆசிரியரான மோக்ஸி மார்லின்ஸ்பைக்கால் இடுகையிடப்பட்ட பாதிப்பு அறிக்கைக்கு செலிபிரைட் தகாத முறையில் பதிலளித்தார். மறைகுறியாக்கப்பட்ட சிக்னல் செய்திகளை ஹேக்கிங் செய்ய அனுமதிக்கும் தொழில்நுட்பத்தை உருவாக்குவது பற்றிய ஊடகக் கட்டுரைக்குப் பிறகு, செலிபிரைட் மீது Moxxi ஆர்வம் காட்டினார், பின்னர் அது Clelebrite இணையதளத்தில் ஒரு கட்டுரையில் உள்ள தகவலை தவறாகப் புரிந்துகொண்டதால் அது போலியானது என்று மாறியது, பின்னர் அது அகற்றப்பட்டது (“ தாக்குதலுக்கு" ஃபோனுக்கான உடல் அணுகல் மற்றும் திரையைத் திறக்கும் திறன் தேவை, அதாவது மெசஞ்சரில் செய்திகளைப் பார்ப்பதற்குக் குறைக்கப்பட்டது, ஆனால் கைமுறையாக அல்ல, ஆனால் பயனர் செயல்களை உருவகப்படுத்தும் சிறப்பு பயன்பாட்டைப் பயன்படுத்துகிறது).

    Moxxi Cellebrite பயன்பாடுகளை ஆய்வு செய்து, சிறப்பாக வடிவமைக்கப்பட்ட தரவை ஸ்கேன் செய்ய முயற்சிக்கும்போது தன்னிச்சையான குறியீட்டை இயக்க அனுமதிக்கும் முக்கியமான பாதிப்புகளைக் கண்டறிந்தார். Cellebrite பயன்பாடு, 9 ஆண்டுகளாக புதுப்பிக்கப்படாத காலாவதியான ffmpeg நூலகத்தைப் பயன்படுத்துவதும் கண்டறியப்பட்டது மற்றும் அதிக எண்ணிக்கையில் இணைக்கப்படாத பாதிப்புகள் உள்ளன. சிக்கல்களை ஒப்புக்கொள்வதற்கும் சிக்கல்களைச் சரிசெய்வதற்கும் பதிலாக, Celebrite ஒரு அறிக்கையை வெளியிட்டுள்ளது, அது பயனர் தரவின் ஒருமைப்பாட்டைப் பற்றி அக்கறை கொண்டுள்ளது, அதன் தயாரிப்புகளின் பாதுகாப்பை சரியான அளவில் பராமரிக்கிறது, வழக்கமான புதுப்பிப்புகளை வெளியிடுகிறது மற்றும் அதன் வகையான சிறந்த பயன்பாடுகளை வழங்குகிறது.

  • மிகப்பெரிய சாதனை. பாதுகாப்பு ஆராய்ச்சியாளர்களுக்கான கருவிகளின் வளர்ச்சிக்காகவும், 30 ஆண்டுகளாக தயாரிப்பை புதுப்பித்த நிலையில் வைத்திருக்கும் திறனுக்காகவும், ஐடிஏ பிரித்தெடுத்தல் மற்றும் ஹெக்ஸ்-ரேஸ் டிகம்பைலரின் ஆசிரியரான இல்ஃபாக் கில்ஃபானோவுக்கு இந்த விருது வழங்கப்பட்டது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்