Ger were îstismar kirin, ev xeletî dikarin bihêlin ku êrîşkar bigihîjin agahdariya hesas a bêdestûr an jî bi gelemperî pirsgirêkan derxînin.
Der barê de agahî hatin belavkirin qelsiyek (jixwe di bin CVE-2023-21036 de hatî katalog kirin) nas kirin di sepana Markup de tête bikar anîn smartphones Google Pixel jêkirin û guherandina dîmenên dîmenan, ku destûrê dide vegerandina qismî ya agahdariya birêkûpêk an verastkirî.
Endezyar Simon Aarons û David Buchanan, yên ku xeletî dîtin û ji bo amûrek çêkirin başkirina îsbata têgînê, bi rêzê ve, wan jê re digotin Cropalypse û destnîşan kirin ku "ev xeletî xirab e" ji bo kesên ku ji nepeniya xwe bi fikar in.
Ev tê vê wateyê ku ger kesek wêneya weya jêkirî bi dest bixe, ew dikare hewl bide ku beşa ku eşkere winda ye vegere. Ger wêne li ser hin deveran bi xêzikan hatibe sererast kirin, dibe ku ew dever di wêneya hatî vegerandin de xuya bibin. Ev ji bo nepenîtiyê ne baş e.
pirsgirêka dema ku wêneyên PNG-ê di Markupê de biguherîne diyar dibe û ji ber wê yekê ye ku dema wêneyek nû hatî guherandin tê nivîsandin, dane bêyî qutkirin li ser pelê berê tê danîn, ango pela dawî ya ku piştî guherandinê hatî bidestxistin dûvika pelê çavkanî ye, ku tê de dane dimîne. daneyên pêçandî.
pirsgirêka Ew wekî qelsiyek tête dabeş kirin. ji ber ku bikarhênerek dikare piştî rakirina daneyên hesas wêneyek guhertî bişîne, lê bi rastî ev dane di pelê de dimîne, her çend di dema dîtina normal de xuya nebe. Ji bo vegerandina daneyên mayî, karûbarê webê acropalypse.app hate destpêkirin û mînakek skrîpta Python hate weşandin.
Zehfbûn ji ber ku rêzika têlefonên Google Pixel 3 ku di sala 2018-an de hatî destpêkirin bi karanîna firmware-ya li ser bingeha Android 10 û guhertoyên nûtir ve hatî destpêkirin, xuya dike. Pirsgirêk di nûvekirina firmware ya Android-ê ya Adarê de ji bo têlefonên Pixel hate rast kirin.
"Encama dawî ev e ku pelê wêneyê bêyî ala [kurtkirî] tê vekirin, ji ber vê yekê dema ku wêneya jêkirî tê nivîsandin, wêneya orîjînal nayê qut kirin," Buchanan got. "Heke pelê wêneya nû piçûktir be, dawiya orîjînal li paş dimîne."
Parçeyên pelê ku diviyabû bihatana qutkirin, hate dîtin ku piştî hin endezyariya berevajî ya metodolojiya pirtûkxaneya berhevkirina zlib, ku Buchahan dibêje ku wî karîbû "piştî çend demjimêran lîstin" bike, wekî wêne têne vegerandin. Encama dawîn delîlek têgehê ye ku her kesê ku bi amûrek Pixel-ê bandorkirî dikare xwe biceribîne.
Ew bawer e ku pirsgirêk ji ber guherîna tevgerê ya nebelge ya rêbaza ParcelFileDescriptor.parseMode() ye. , ku tê de, berî serbestberdana platforma Android 10, ala "w" (nivîsandin). bû sedem ku pel were qut kirin dema ku hewl dide ku li pelek berê heyî binivîse, lê ji ber berdana Android 10, tevger guherî û ji bo qutkirinê hewce bû ku bi eşkere ala "wt" (nivîsandin, qutkirin) were diyar kirin û dema ku ala "w" hate diyar kirin, piştî ji nû ve nivîsandinê êdî rêz nehat rakirin. .
Bi kurtasî, xeletiya "aCropalypse" hişt ku kesek di Markupê de dîmenek PNG-ya jêkirî bigire û bi kêmî ve hin guherandinên wêneyê betal bike. Hêsan e ku meriv senaryoyên ku tê de lîstikvanek xirab dikare wê jêhatîbûnê xirab bike xeyal bike. Mînakî, heke xwedanek Pixel Markup bikar bîne da ku wêneyek ku di derheqê xwe de agahdariya hesas tê de ye red bike, kesek dikare xeletiyê bikar bîne da ku wê agahiyê eşkere bike.
Hêjayî gotinê ye ku Google Cropalypse patch kir di wan de Adar nûvekirinên ewlehiyê yên Pixel (Tenê berî ku hûrguliyên lawaziyê hatin berdan):
Di pêşerojê de her tişt baş û baş e: naha hûn dikarin biçînin, redakt bikin, û bêyî tirsa ku wêneyên weyên paşerojê werin vegerandin parve bikin, lê ti dîmenên neparvekirî yên ku ji îstîsmarê re xeternak in, berê derbas nebûne, li Discord hatine barkirin, hwd.
Finalmente heke hûn dixwazin pê zanibin bêtir pê zanibin di derbarê qelsbûnê de, hûn dikarin li ser weşana orîjînal şêwir bikin zencîreya jêrîn.
Beşa yekem be ku şîrove bike