کاسپرسکی لیب سے پاول چیرمشکن VNC (ورچوئل نیٹ ورک کمپیوٹنگ) ریموٹ ایکسیس سسٹم کے مختلف نفاذ اور میموری کے ساتھ کام کرتے وقت مسائل کی وجہ سے 37 کمزوریوں کی نشاندہی کی۔ VNC سرور کے نفاذ میں نشاندہی کی گئی کمزوریوں کا فائدہ صرف ایک مستند صارف کے ذریعے کیا جا سکتا ہے، اور کلائنٹ کوڈ میں موجود کمزوریوں پر حملے اس وقت ممکن ہیں جب صارف کسی حملہ آور کے زیر کنٹرول سرور سے جڑتا ہے۔
پیکیج میں پائے جانے والے خطرات کی سب سے بڑی تعداد صرف ونڈوز پلیٹ فارم کے لیے دستیاب ہے۔ الٹرا وی این سی میں کل 22 کمزوریوں کی نشاندہی کی گئی ہے۔ 13 کمزوریاں ممکنہ طور پر سسٹم پر کوڈ کے نفاذ، 5 میموری لیک ہونے اور 4 سروس سے انکار کا باعث بن سکتی ہیں۔
ریلیز میں کمزوریاں طے کی گئیں۔ .
کھلی لائبریری میں (LibVNCServer اور LibVNCClient)، جو ورچوئل باکس میں، 10 کمزوریوں کی نشاندہی کی گئی ہے۔
5 کمزوریاں (, , , , ) بفر اوور فلو کی وجہ سے ہوتے ہیں اور ممکنہ طور پر کوڈ پر عمل درآمد کا باعث بن سکتے ہیں۔ 3 کمزوریاں معلومات کے رساو کا باعث بن سکتی ہیں، 2 سروس سے انکار۔
تمام مسائل کو ڈویلپرز نے پہلے ہی طے کر لیا ہے، لیکن تبدیلیاں اب بھی ہیں۔ صرف ماسٹر برانچ میں۔
В (آزمائشی کراس پلیٹ فارم لیگیسی برانچ چونکہ موجودہ ورژن 2.x صرف ونڈوز کے لیے جاری کیا گیا ہے، اس لیے 4 کمزوریاں دریافت ہوئیں۔ تین مسائل (, , ) InitialiseRFBConnection، rfbServerCutText، اور HandleCoRREBBP فنکشنز میں بفر اوور فلو کی وجہ سے ہوتے ہیں، اور ممکنہ طور پر کوڈ پر عمل درآمد کا باعث بن سکتے ہیں۔ ایک مسئلہ () خدمت کے انکار کی طرف جاتا ہے۔ اگرچہ TightVNC ڈویلپرز تھے۔ پچھلے سال کے مسائل کے بارے میں، کمزوریاں غیر درست رہیں۔
کراس پلیٹ فارم پیکیج میں (ٹائٹ وی این سی 1.3 کا ایک کانٹا جو libjpeg-turbo لائبریری کا استعمال کرتا ہے)، صرف ایک کمزوری پائی گئی ()، لیکن یہ خطرناک ہے اور، اگر آپ کے پاس سرور تک مستند رسائی ہے، تو یہ آپ کے کوڈ کے عمل کو منظم کرنا ممکن بناتا ہے، کیونکہ اگر بفر اوور فلو ہو جاتا ہے، تو واپسی کے پتے کو کنٹرول کرنا ممکن ہے۔ مسئلہ حل ہو گیا ہے۔ اور موجودہ ریلیز میں ظاہر نہیں ہوتا ہے۔ .
ماخذ: opennet.ru