Kernal hamjamiyati a'zolari Windows 11 interfeysi sifatida stilize qilingan KDE foydalanuvchi muhitiga ega Ubuntu tizimini taklif qiluvchi Linuxfx tarqatishda xavfsizlikka g'ayrioddiy beparvo munosabatni aniqladilar.Loyiha veb-sayti ma'lumotlariga ko'ra, tarqatish tomonidan foydalaniladi. milliondan ortiq foydalanuvchi va shu haftada 15 mingga yaqin yuklamalar qayd etilgan. Tarqatish maxsus grafik ilovada litsenziya kalitini kiritish orqali amalga oshiriladigan qo'shimcha pullik funksiyalarni faollashtirishni taklif qiladi.
Litsenziyani faollashtirish ilovasini (/usr/bin/windowsfx-register) o'rganish shuni ko'rsatdiki, u tashqi MySQL DBMSga kirish uchun o'rnatilgan login va parolni o'z ichiga oladi, unga yangi foydalanuvchi haqidagi ma'lumotlar qo'shiladi. Bunday holda, foydalanilgan hisobga olish ma'lumotlari ma'lumotlar bazasiga to'liq kirish imkonini beradi, shu jumladan tarqatishning barcha o'rnatishlari, shu jumladan foydalanuvchi IP manzillari haqida ma'lumotni aks ettiruvchi "mashinalar" jadvali. Litsenziya kalitlari va barcha ro'yxatdan o'tgan tijorat foydalanuvchilarining elektron pochta manzillari bilan "fxkeys" jadvalining mazmuni ham mavjud. Shunisi e'tiborga loyiqki, bir million foydalanuvchi haqidagi bayonotlardan farqli o'laroq, ma'lumotlar bazasida atigi 20 mingta yozuv mavjud. Ilova Visual Basic-da yozilgan va Gambas tarjimoni yordamida ishlaydi.
Tarqatish ishlab chiquvchilarining reaktsiyasi alohida e'tiborga loyiqdir. Xavfsizlik muammolari haqida ma'lumotni e'lon qilgandan so'ng, ular yangilanishni chiqardilar, unda ular muammoni o'zi hal qilmadi, faqat ma'lumotlar bazasi nomini, login va parolni o'zgartirdi, shuningdek, hisobga olish ma'lumotlarini olish mantiqini o'zgartirdi va dasturlarni kuzatish bilan kurashishga harakat qildi. Ilovaning o'ziga o'rnatilgan hisob ma'lumotlari o'rniga Linuxfx ishlab chiquvchilari curl yordam dasturidan foydalangan holda tashqi serverdan ma'lumotlar bazasiga ulanish uchun yuklash parametrlarini qo'shdilar. Ishga tushirilgandan so'ng himoya qilish uchun tizimdagi barcha ishlaydigan "sudo", "stapbp" va "*-bpfcc" jarayonlarini qidirish va o'chirish amalga oshirildi, aftidan ular kuzatuv dasturlari ishlashiga xalaqit berishi mumkin degan fikrda. .
Manba: opennet.ru