વિવિધ વિતરણો પરના પૂર્વ-ઇન્સ્ટોલ કરેલા ટેક્સ્ટ સંપાદકોમાં નવી નબળાઈ નિશ્ચિત કરવામાં આવી હતી લિનક્સ મળી આવ્યું વિમ અને નિયોવિમ ટેક્સ્ટ સંપાદકોમાં (સીવીઇ-2019-12735).
આ સંપાદકોમાં ભૂલ મળી જ્યારે વપરાશકર્તાઓ દૂષિત ટેક્સ્ટ ફાઇલ ખોલે છે ત્યારે હેકર્સને કમ્પ્યુટરને નિયંત્રિત કરવાની મંજૂરી આપે છે. ડિફોલ્ટ (": set Modeline") દ્વારા સક્ષમ મોડેલિન પ્રવૃત્તિ સાથે સમસ્યા પ્રગટ થાય છે, જે તમને ફાઇલમાં સંપાદન વિકલ્પોને વ્યાખ્યાયિત કરવાની મંજૂરી આપે છે જે પ્રક્રિયા કરવામાં આવી રહી છે.
વિમ અને તેના નીઓવિમ કાંટોમાં એક ખામી છે જે મોડેલોમાં રહે છે. આ સુવિધા વપરાશકર્તાઓને વિંડો પરિમાણો અને ટેક્સ્ટ ફાઇલના પ્રારંભ અથવા અંતની નજીકના અન્ય કસ્ટમ વિકલ્પોને નિર્દિષ્ટ કરવાની મંજૂરી આપે છે.
આ લક્ષણ વિમ 8.1.1365 નીઓવિમ 0.3.6 પહેલાંના સંસ્કરણોમાં ડિફ defaultલ્ટ રૂપે સક્ષમ થયેલ છે અને .txt ફાઇલો સહિતના તમામ ફાઇલ પ્રકારોને લાગુ પડે છે.
વિમમાં નબળાઈ વિશે
મોડેલિન દ્વારા, મર્યાદિત સંખ્યામાં વિકલ્પોની મંજૂરી છે. એસજો કોઈ અભિવ્યક્તિને વિકલ્પ મૂલ્ય તરીકે નિર્દિષ્ટ કરવામાં આવે છે, તો તે સેન્ડબોક્સ મોડમાં ચાલે છે, જે ફક્ત સૌથી સરળ સલામત કામગીરીનો ઉપયોગ કરવાની મંજૂરી આપે છે.
તે જ સમયે, આદેશ ": સ્રોત" એ મંજૂરી આપેલી એક છે, જેમાં તમે સંશોધનકારનો ઉપયોગ કરી શકો છો! " સ્પષ્ટ કરેલ ફાઇલમાંથી મનસ્વી આદેશો ચલાવવા માટે.
તેથી, કોડને ચલાવવા માટે, "સેટ ફોલ્ડક્ષપ્ર = એક્ઝેક્યુટ ('\: સોર્સ! સોમ_ફાયલ'):": ફોર્મનું બાંધકામ સૂચવવા માટે તે મોડેલિન લાઇનમાં સૂચવવા માટે પૂરતું છે. નિયોવીમમાં, એક્ઝેક્યુશન ક callલ પ્રતિબંધિત છે, પરંતુ તેના બદલે assert_fail નો ઉપયોગ કરી શકાય છે.
બીજી બાજુ, સેન્ડબોક્સમાં, તે આડઅસરોને રોકવા માટે રચાયેલ છે:
'ફોલ્ડએક્સપ્રિ', 'ફોરમેટેક્સપ્ર', 'સમાવિષ્ટનિષેધ', 'ઇન્ડેન્ટેક્સપ્ર', 'સ્ટેટસલાઈન' અને 'ફોલ્ડ ટેક્સ્ટ' આ બધાનું મૂલ્યાંકન સેન્ડબોક્સમાં કરી શકાય છે. આનો અર્થ એ છે કે તમે આ અભિવ્યક્તિઓથી અપ્રિય આડઅસરથી સુરક્ષિત છો. જ્યારે આ વિકલ્પો મોડેલમાંથી વ્યાખ્યાયિત કરવામાં આવે છે ત્યારે આ થોડીક સુરક્ષા પ્રદાન કરે છે.
જ્યારે મોડેલો ઉપલબ્ધ આદેશોને મર્યાદિત કરે છે અને execપરેટિંગ સિસ્ટમથી અલગ વાતાવરણમાં તેમને ચલાવે છે, સંશોધનકર્તા આર્મીન રઝમજુએ નોંધ્યું છે કે આદેશ: ફ fontન્ટ! આ સંરક્ષણની અવધિ:
સંશોધનકારે આ મહિનાની શરૂઆતમાં પ્રકાશિત સંદેશમાં લખ્યું છે કે "તે આપેલ ફાઇલમાં આદેશો વાંચે છે અને ચલાવે છે જાણે કે જાતે દાખલ થઈ હોય, અને એક વખત સેન્ડબોક્સ બાકી ગયા પછી અમલ કરે." -ci.
આમ, કોઈ વ્યક્તિ તુચ્છ રૂપે એક મોડેલ લાઇન બનાવી શકે છે જે સેન્ડબોક્સની બહારનો કોડ ચલાવે છે.
પોસ્ટમાં સિદ્ધાંતની બે પુરાવા શામેલ છે, જેમાંથી એક ગ્રાફિકલી રીતે ખતરાને સમજાવે છે.
તેમાંથી એક વિમ અથવા નિયોવિમ ચલાવતા કમ્પ્યુટર પર વિપરીત શેલ ખોલે છે. ત્યાંથી, હુમલાખોરો જરૂરી પસંદગી મશીન પર તેમની પસંદગીના આદેશો શરૂ કરી શક્યા.
રજમજુએ લખ્યું, "આ પીઓસી એક વાસ્તવિક હુમલો અભિગમનું વર્ણન કરે છે જેમાં વપરાશકર્તા ફાઇલ ખોલે ત્યારે રિવર્સ શેલ શરૂ થાય છે." The હુમલો છુપાવવા માટે, ફાઇલ ખોલવા પર તરત જ ફરીથી લખવામાં આવશે. જ્યારે, જ્યારે બિલાડી સાથે સામગ્રી છાપવામાં આવે ત્યારે મોડેલ લાઇનને છુપાવવા માટે, પીઓસી ટર્મિનલ એસ્કેપ સિક્વન્સનો ઉપયોગ કરે છે. (બિલાડી-વી વાસ્તવિક સામગ્રીને છતી કરે છે). «
આદેશ અમલની નબળાઈને પ્રમાણભૂત મોડેલિંગ વિધેયના સક્રિયકરણની જરૂર છે, મૂળભૂત રીતે કેટલાક લિનક્સ વિતરણોની જેમ. ખામી વર્ઝન 8.1.1365 પહેલાં વિમમાં અને આવૃત્તિ ન્યુઓવીમમાં 0.3.6 ની પહેલાં જોવા મળે છે.
નેશનલ ઇન્સ્ટિટ્યૂટ Standફ સ્ટાન્ડર્ડ્સ અને ટેકનોલોજીના રાષ્ટ્રીય નબળાઈ ડેટાબેસેસની આ સલાહ બતાવે છે કે ડેબિયન અને ફેડોરા લિનક્સ વિતરણોએ નિશ્ચિત સંસ્કરણો મુક્ત કરવાનું શરૂ કર્યું છે.
વિતરણોમાં, સમસ્યા હલ થાય છે આરએચઈએલ, સુસ / ઓપનસુસ, ફેડોરા, ફ્રીબીએસડી, ઉબુન્ટુ, આર્ક લિનક્સ અને એએલટી.
ડેબિયનમાં નબળાઈ દૂર રહી છે (ડેબિયન મ modelડલિનમાં તે ડિફ byલ્ટ રૂપે અક્ષમ કરેલું છે, તેથી સંવેદનશીલતા ડિફ defaultલ્ટ સ્થિતિમાં પ્રગટ થતી નથી).
મOSકોઝનું નવીનતમ સંસ્કરણ નબળા સંસ્કરણનો ઉપયોગ કરવાનું ચાલુ રાખે છે, જો કે વપરાશકર્તાઓ ડિફ settingલ્ટ સેટિંગને બદલી નાખે છે જ્યારે મોડેલોની સુવિધા સક્ષમ કરેલ હોય ત્યારે જ હુમલાઓ કાર્ય કરે છે.