Awọn ailagbara (CVE-2021-40823, CVE-2021-40824) ni a ti ṣe idanimọ ni ọpọlọpọ awọn ohun elo alabara fun Syeed awọn ibaraẹnisọrọ isọdi ti Matrix, gbigba alaye nipa awọn bọtini ti a lo lati atagba awọn ifiranṣẹ ni awọn ibaraẹnisọrọ ti paroko (E2EE) ipari-si-opin lati jẹ gba. Olukọni ti o kọlu ọkan ninu awọn olumulo iwiregbe le ṣokuro awọn ifiranṣẹ ti a firanṣẹ tẹlẹ si olumulo yẹn lati awọn ohun elo alabara ti o ni ipalara.
Iṣe aṣeyọri nilo iraye si akọọlẹ olugba ifiranṣẹ naa. Wiwọle le ṣee gba boya nipasẹ jijo ti awọn paramita akọọlẹ tabi nipasẹ sakasaka olupin Matrix nipasẹ eyiti olumulo sopọ. Awọn ailagbara naa jẹ eewu nla julọ si awọn olumulo ti awọn yara iwiregbe ti paroko si eyiti awọn olupin Matrix ti iṣakoso nipasẹ awọn ikọlu ti sopọ. Awọn alabojuto iru awọn olupin le gbiyanju lati ṣe afarawe awọn olumulo olupin lati le da awọn ifiranṣẹ iwiregbe ranṣẹ lati awọn ohun elo alabara ti o ni ipalara.
Awọn ailagbara naa jẹ idi nipasẹ awọn aṣiṣe ọgbọn ni imuse ti ẹrọ atunwi bọtini ti a dabaa ni matrix-js-sdk <12.4.1 (CVE-2021-40823), matrix-android-sdk2 <1.2.2 (CVE-2021-40824) , matrix -rust-sdk <0.4.0, FamedlySDK <0.5.0 ati Nheko ≤ 0.8.2. Awọn imuse ti o da lori matrix-ios-sdk, matrix-nio ati awọn ile-ikawe libolm ko ni ifaragba si awọn ailagbara.
Nitorinaa, awọn ailagbara han ni gbogbo awọn ohun elo ti o yawo koodu iṣoro ati pe ko kan taara awọn ilana Matrix ati Olm/Megolm. Ni pato, iṣoro naa ni ipa lori Element onibara Matrix akọkọ (tẹlẹ Riot) fun oju opo wẹẹbu, tabili tabili ati Android, bakanna bi awọn ohun elo alabara ẹni-kẹta ati awọn ile-ikawe, pẹlu FluffyChat, Nheko, Cinny ati SchildChat. Iṣoro naa ko han ni alabara osise fun pẹpẹ iOS, bakannaa ninu Chatty, Hydrogen, mautrix, eleyi ti-matrix ati awọn ohun elo Siphon.
Awọn ailagbara ni a ṣe idanimọ lakoko iṣayẹwo aabo ti alabara Element. Awọn atunṣe ti tu silẹ ni bayi fun gbogbo awọn alabara ti o kan. A gba awọn olumulo niyanju lati fi awọn imudojuiwọn sori ẹrọ lẹsẹkẹsẹ ki o mu awọn alabara ni aisinipo ṣaaju fifi imudojuiwọn naa sori ẹrọ. Ko si ẹri ti ilokulo ti ailagbara ṣaaju si ikede ti alemo naa. Ko ṣee ṣe lati pinnu otitọ ti ikọlu nipa lilo alabara boṣewa ati awọn iforukọsilẹ olupin, ṣugbọn niwọn igba ti ikọlu naa nilo adehun iwe-akọọlẹ, awọn alaṣẹ le ṣe itupalẹ wiwa awọn iwọle ifura nipa lilo awọn iforukọsilẹ ijẹrisi lori olupin wọn, ati pe awọn olumulo le ṣe iṣiro atokọ ti awọn ẹrọ ti o sopọ mọ. si akọọlẹ wọn fun awọn isọdọtun aipẹ ati awọn iyipada ipo igbẹkẹle.
Ilana pinpin bọtini, ni imuse eyiti a rii awọn ailagbara, ngbanilaaye alabara ti ko ni awọn bọtini lati yo ifiranṣẹ kan lati beere awọn bọtini lati ẹrọ olufiranṣẹ tabi awọn ẹrọ miiran. Fun apẹẹrẹ, iru agbara bẹẹ jẹ pataki lati rii daju idinku awọn ifiranṣẹ atijọ lori ẹrọ olumulo titun tabi ti olumulo ba padanu awọn bọtini to wa tẹlẹ. Sipesifikesonu Ilana naa ṣe ilana nipasẹ aiyipada lati ma dahun si awọn ibeere bọtini ati lati fi wọn ranṣẹ laifọwọyi si awọn ẹrọ ti a rii daju ti olumulo kanna. Laanu, ni awọn imuse ilowo ibeere yii ko pade ati pe awọn ibeere lati firanṣẹ awọn bọtini ni a ṣe ilana laisi idanimọ ẹrọ to dara.
orisun: opennet.ru