Awọn olupilẹṣẹ ti Syeed awọn ibaraẹnisọrọ ti iṣipopada Matrix ti kilọ nipa idanimọ ti awọn ailagbara pataki ninu matrix-js-sdk, matrix-ios-sdk ati awọn ile-ikawe matrix-android-sdk2, eyiti o gba awọn oludari olupin laaye lati farawe awọn olumulo miiran ati ka awọn ifiranṣẹ ni awọn iwiregbe. pẹlu opin-si-opin ìsekóòdù (E2EE). Awọn ailagbara jẹ idi nipasẹ awọn idun ni awọn imuse ẹni kọọkan ti Ilana Matrix ati pe kii ṣe awọn iṣoro pẹlu ilana funrararẹ. Lọwọlọwọ, ise agbese na ti tu awọn imudojuiwọn si SDKs iṣoro ati awọn apakan ti awọn ohun elo alabara ti a ṣe lori ipilẹ wọn.
Láti ṣe ìkọlù kan ní àṣeyọrí, ó ṣe pàtàkì láti lo kọ̀ǹpútà ilé tí ẹni tí ó kọlu náà ń ṣàkóso. sерверу (homeserver - olupin kan fun titoju itan ati awọn akọọlẹ alabara). Lilo fifi ẹnọ kọ nkan si opin-si-opin ni apa alabara n ṣe idiwọ fun oluṣakoso lati ṣe abojuto olupin Bó tilẹ̀ jẹ́ pé àwọn àìlera tí a rí gbà láyè láti borí ààbò yìí, Matrix client Element (tí a mọ̀ tẹ́lẹ̀ Riot) fún wẹ́ẹ̀bù, kọ̀ǹpútà alágbèéká, iOS, àti Android ni ó ní ipa lórí, bẹ́ẹ̀ náà ni àwọn app oníbàárà ẹni-kẹta, títí bí Cinny, Beeper, SchildiChat, Circuli, àti Synod.im. Àwọn àìlera náà kò ní ipa lórí àwọn lítà matrix-rust-sdk, hydrogen-sdk, Matrix Dart SDK, mautrix-python, mautrix-go, àti matrix-nio, tàbí àwọn app Hydrogen, ElementX, Nheko, FluffyChat, Syphon, Timmy, Gomuks, àti Pantalaimon.
Awọn oju iṣẹlẹ ikọlu akọkọ mẹta wa:
- Alakoso olupin Matrix le ṣe idamu ijẹrisi orisun-emoji (SAS, Awọn okun Ijeri Kukuru) nigba lilo awọn ibuwọlu agbelebu ki o farawewe olumulo miiran. Ọrọ naa ṣẹlẹ nipasẹ ailagbara kan (CVE-2022-39250) ninu koodu matrix-js-sdk ti o ni ibatan si dapọ sisẹ awọn ID ẹrọ ati awọn bọtini ibuwọlu agbelebu.
- Olukọni ti n ṣakoso olupin le tan olufiranṣẹ kan ti o ni igbẹkẹle ki o tan kaakiri bọtini iro kan lati da awọn ifiranṣẹ wọle lati ọdọ awọn olumulo miiran. Ọrọ naa ṣẹlẹ nipasẹ ailagbara ni matrix-js-sdk (CVE-2022-39251), matrix-ios-sdk (CVE-2022-39255) ati matrix-android-sdk2 (CVE-2022-39248) ti o fa alabara lati gba ti ko tọ awọn ifiranšẹ itọsọna ẹrọ ti paroko nipa lilo Ilana Megolm dipo Olm, ni sisọ awọn ifiranṣẹ naa si olufiranṣẹ Megolm dipo olufiranṣẹ gangan.
- Lilo awọn ailagbara ti a mẹnuba ninu paragira ti tẹlẹ, oluṣakoso olupin tun le ṣafikun bọtini apoju arosọ kan si akọọlẹ olumulo lati jade awọn bọtini ti a lo lati encrypt awọn ifiranṣẹ.
Awọn oniwadi ti o ṣe idanimọ ailagbara naa tun ṣe afihan awọn ikọlu ti o yori si fifi olumulo ẹnikẹta kun si iwiregbe tabi so ẹrọ ẹnikan pọ mọ olumulo naa. Awọn ikọlu naa da lori otitọ pe awọn ifiranṣẹ iṣẹ ti a lo lati ṣafikun awọn olumulo si iwiregbe ko ni somọ awọn bọtini ti olupilẹṣẹ iwiregbe ati pe o le ṣe ipilẹṣẹ nipasẹ alabojuto olupin. Awọn olupilẹṣẹ lati inu iṣẹ akanṣe Matrix ti pin awọn ailagbara wọnyi bi kekere, nitori iru awọn ifọwọyi kii yoo ṣe akiyesi - ti olumulo kan ba rọpo, yoo han ninu atokọ ti awọn olumulo iwiregbe, ati nigbati fifi ẹrọ kan kun, ikilọ yoo han, ati ẹrọ naa. yoo jẹ samisi bi aijẹrisi (ati lẹsẹkẹsẹ lẹhin fifi ẹrọ rogue kun yoo bẹrẹ lati gba awọn bọtini gbangba ti o nilo lati ge awọn ifiranṣẹ).
orisun: opennet.ru
