కాస్పెర్స్కీ ల్యాబ్ నుండి పావెల్ చెరెముష్కిన్ VNC (వర్చువల్ నెట్వర్క్ కంప్యూటింగ్) రిమోట్ యాక్సెస్ సిస్టమ్ యొక్క వివిధ అమలులు మరియు మెమరీతో పని చేస్తున్నప్పుడు సమస్యల వల్ల కలిగే 37 దుర్బలత్వాలను గుర్తించాయి. VNC సర్వర్ ఇంప్లిమెంటేషన్లలో గుర్తించబడిన దుర్బలత్వాలను ప్రామాణీకరించబడిన వినియోగదారు మాత్రమే ఉపయోగించుకోగలరు మరియు దాడి చేసేవారిచే నియంత్రించబడే సర్వర్కు వినియోగదారు కనెక్ట్ అయినప్పుడు క్లయింట్ కోడ్లోని దుర్బలత్వాలపై దాడులు సాధ్యమవుతాయి.
ప్యాకేజీలో అత్యధిక సంఖ్యలో దుర్బలత్వాలు కనుగొనబడ్డాయి , Windows ప్లాట్ఫారమ్కు మాత్రమే అందుబాటులో ఉంది. UltraVNCలో మొత్తం 22 దుర్బలత్వాలు గుర్తించబడ్డాయి. 13 దుర్బలత్వాలు సిస్టమ్లో కోడ్ ఎగ్జిక్యూషన్కు, 5 మెమరీ లీక్లకు మరియు 4 సేవను తిరస్కరించడానికి దారితీయవచ్చు.
విడుదలలో బలహీనతలు పరిష్కరించబడ్డాయి .
ఓపెన్ లైబ్రరీలో (LibVNCSserver మరియు LibVNCClient), ఇది VirtualBoxలో, 10 దుర్బలత్వాలు గుర్తించబడ్డాయి.
5 దుర్బలత్వాలు (, , , , ) బఫర్ ఓవర్ఫ్లో కారణంగా ఏర్పడతాయి మరియు సంభావ్యంగా కోడ్ అమలుకు దారితీయవచ్చు. 3 దుర్బలత్వాలు సమాచారం లీకేజీకి, 2 సేవ తిరస్కరణకు దారి తీయవచ్చు.
డెవలపర్ల ద్వారా అన్ని సమస్యలు ఇప్పటికే పరిష్కరించబడ్డాయి, అయితే మార్పులు ఇప్పటికీ ఉన్నాయి మాస్టర్ బ్రాంచ్లో మాత్రమే.
В (పరీక్షించబడిన క్రాస్-ప్లాట్ఫారమ్ లెగసీ బ్రాంచ్ , ప్రస్తుత వెర్షన్ 2.x Windows కోసం మాత్రమే విడుదల చేయబడినందున), 4 దుర్బలత్వాలు కనుగొనబడ్డాయి. మూడు సమస్యలు (, , ) InitialiseRFBCconnection, rfbServerCutText మరియు HandleCoRREBBP ఫంక్షన్లలోని బఫర్ ఓవర్ఫ్లోల వల్ల సంభవించవచ్చు మరియు సంభావ్యంగా కోడ్ అమలుకు దారితీయవచ్చు. ఒక సమస్య () సేవ యొక్క తిరస్కరణకు దారి తీస్తుంది. TightVNC డెవలపర్లు అయినప్పటికీ గత సంవత్సరం సమస్యల గురించి, దుర్బలత్వం సరిదిద్దబడలేదు.
క్రాస్-ప్లాట్ఫారమ్ ప్యాకేజీలో (libjpeg-turbo లైబ్రరీని ఉపయోగించే TightVNC 1.3 యొక్క ఫోర్క్), ఒకే ఒక దుర్బలత్వం కనుగొనబడింది (), కానీ ఇది ప్రమాదకరం మరియు మీరు సర్వర్కు ప్రామాణీకరించబడిన ప్రాప్యతను కలిగి ఉన్నట్లయితే, మీ కోడ్ యొక్క అమలును నిర్వహించడం సాధ్యమవుతుంది, ఎందుకంటే బఫర్ ఓవర్ఫ్లో అయితే, రిటర్న్ చిరునామాను నియంత్రించడం సాధ్యమవుతుంది. సమస్య పరిష్కారమైంది మరియు ప్రస్తుత విడుదలలో కనిపించడం లేదు .
మూలం: opennet.ru