aCropalypse, ஸ்கிரீன் ஷாட்களை மீட்டெடுக்க உங்களை அனுமதிக்கும் பிக்சல் சாதனங்களில் உள்ள பிழை

பாதிப்பு

சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்

என்பது பற்றிய தகவல்கள் வெளியாகின ஒரு பாதிப்பு (ஏற்கனவே CVE-2023-21036 இன் கீழ் பட்டியலிடப்பட்டுள்ளது) அடையாளம் காணப்பட்டது மார்க்அப் பயன்பாட்டில் இல் பயன்படுத்தப்பட்டது ஸ்மார்ட்போன்கள் கூகிள் பிக்சல் ஸ்கிரீன் ஷாட்களை செதுக்க மற்றும் திருத்த, இது செதுக்கப்பட்ட அல்லது திருத்தப்பட்ட தகவலை ஓரளவு மீட்டமைக்க அனுமதிக்கிறது.

பொறியாளர்கள் சைமன் ஆரோன்ஸ் மற்றும் டேவிட் புகேனன் ஆகியோர் பிழையைக் கண்டுபிடித்து அதற்கான கருவியை உருவாக்கினர் மீட்பு கருத்தின் ஆதாரம், முறையே, அவர்கள் அதை க்ரோபாலிப்ஸ் என்று அழைத்தனர் மற்றும் அவர்களின் தனியுரிமையைப் பற்றி அக்கறை கொண்டவர்களுக்கு "இந்த பிழை மோசமானது" என்று குறிப்பிட்டனர்.

அதாவது, உங்கள் செதுக்கப்பட்ட படத்தை யாராவது பிடித்தால், அவர்கள் காணாமல் போன பகுதியைத் திரும்பப் பெற முயற்சி செய்யலாம். சில பகுதிகளில் ஸ்கிரிபிள்களால் படம் திருத்தப்பட்டிருந்தால், அந்த பகுதிகள் மீட்டெடுக்கப்பட்ட படத்தில் தெரியும். இது தனியுரிமைக்கு நல்லதல்ல.

பிரச்சனை மார்க்அப்பில் PNG படங்களைத் திருத்தும்போது வெளிப்படும் மற்றும் ஒரு புதிய மாற்றியமைக்கப்பட்ட படத்தை எழுதும் போது, ​​தரவு துண்டிக்கப்படாமல் முந்தைய கோப்பில் மிகைப்படுத்தப்படுகிறது, அதாவது, திருத்திய பின் பெறப்பட்ட இறுதிக் கோப்பில் மூலக் கோப்பின் வால் உள்ளது, அதில் தரவு எஞ்சியுள்ளது. பழையது. சுருக்கப்பட்ட தரவு.

பிரச்சனை இது ஒரு பாதிப்பு என வகைப்படுத்தப்பட்டுள்ளது. ஒரு பயனர் முக்கியமான தரவை அகற்றிய பிறகு ஒரு திருத்தப்பட்ட படத்தை இடுகையிட முடியும், ஆனால் உண்மையில் இந்தத் தரவு கோப்பில் இருக்கும், இருப்பினும் இது சாதாரண பார்வையின் போது தெரியவில்லை. மீதமுள்ள தரவை மீட்டெடுக்க, acropalypse.app இணைய சேவை தொடங்கப்பட்டது மற்றும் ஒரு எடுத்துக்காட்டு பைதான் ஸ்கிரிப்ட் வெளியிடப்பட்டது.

ஆண்ட்ராய்டு 3 மற்றும் புதிய பதிப்புகளை அடிப்படையாகக் கொண்ட ஃபார்ம்வேரைப் பயன்படுத்தி 2018 இல் அறிமுகப்படுத்தப்பட்ட கூகுள் பிக்சல் 10 தொடர் ஸ்மார்ட்போன்களில் இருந்து இந்த பாதிப்பு வெளிப்படுகிறது. பிக்சல் ஸ்மார்ட்போன்களுக்கான மார்ச் ஆண்ட்ராய்டு ஃபார்ம்வேர் புதுப்பிப்பில் சிக்கல் சரி செய்யப்பட்டது.

"இறுதி முடிவு என்னவென்றால், படக் கோப்பு [துண்டிக்கப்பட்ட] கொடி இல்லாமல் திறக்கப்படுகிறது, அதனால் செதுக்கப்பட்ட படம் எழுதப்படும்போது, ​​அசல் படம் துண்டிக்கப்படாது," என்று புக்கானன் கூறினார். "புதிய படக் கோப்பு சிறியதாக இருந்தால், அசலின் முடிவு பின்னால் விடப்படும்."

துண்டிக்கப்பட வேண்டிய கோப்பின் துகள்கள், zlib கம்ப்ரஷன் லைப்ரரி மெத்தடாலஜியின் சில ரிவர்ஸ் இன்ஜினியரிங் செய்த பிறகு படங்களாக மீட்டெடுக்கப்பட்டதாகக் கண்டறியப்பட்டது, புச்சாஹான் "சில மணிநேரம் விளையாடிய பிறகு" அதைச் செய்ய முடிந்தது என்று கூறுகிறார். பாதிக்கப்பட்ட பிக்சல் சாதனம் உள்ள எவரும் தங்களைத் தாங்களே சோதித்துக்கொள்ள முடியும் என்ற கருத்தின் இறுதி முடிவு.

என்று நம்பப்படுகிறது ParcelFileDescriptor.parseMode() முறையின் ஆவணமற்ற நடத்தை மாற்றத்தால் சிக்கல் ஏற்பட்டது , இதில், ஆண்ட்ராய்டு 10 இயங்குதளத்தை வெளியிடுவதற்கு முன், "w" (எழுது) கொடி ஏற்கனவே இருக்கும் கோப்பில் எழுத முயற்சிக்கும் போது கோப்பு துண்டிக்கப்படுவதற்கு காரணமாக அமைந்தது, ஆனால் ஆண்ட்ராய்டு 10 வெளியீட்டில் இருந்து, நடத்தை மாறியது மற்றும் துண்டிக்க "wt" (எழுது, துண்டிக்கவும்) கொடியை வெளிப்படையாகக் குறிப்பிட வேண்டும் மற்றும் "w" கொடி குறிப்பிடப்பட்டபோது, ​​மீண்டும் எழுதப்பட்ட பிறகு வரிசை அகற்றப்படவில்லை. .

சுருக்கமாக, "aCropalypse" குறைபாடு யாரையாவது மார்க்அப்பில் செதுக்கப்பட்ட PNG ஸ்கிரீன் ஷாட்டை எடுக்க அனுமதித்தது மற்றும் படத்தில் குறைந்தபட்சம் சில திருத்தங்களைச் செயல்தவிர்க்க அனுமதித்தது. ஒரு மோசமான நடிகர் அந்த திறனை தவறாக பயன்படுத்தக்கூடிய காட்சிகளை கற்பனை செய்வது எளிது. எடுத்துக்காட்டாக, Pixel உரிமையாளர் தன்னைப் பற்றிய முக்கியமான தகவலை உள்ளடக்கிய ஒரு படத்தை மாற்றியமைக்க Markup ஐப் பயன்படுத்தினால், அந்தத் தகவலை வெளிப்படுத்த யாராவது குறைபாட்டைப் பயன்படுத்திக் கொள்ளலாம்.

அதைக் குறிப்பிடுவது மதிப்பு க்ரோபாலிப்ஸை கூகுள் பேட்ச் செய்துள்ளது அவற்றில் மார்ச் பிக்சல் பாதுகாப்பு புதுப்பிப்புகள் (பாதிப்பு பற்றிய விவரங்கள் வெளியிடப்படுவதற்கு சற்று முன்பு):

எதிர்காலத்தில் எல்லாம் நன்றாக இருக்கும்: இப்போது நீங்கள் செதுக்கலாம், திருத்தலாம் மற்றும் பகிரலாம், உங்கள் எதிர்கால படங்கள் மீட்டெடுக்கப்படலாம் என்ற அச்சமின்றி, ஆனால் சுரண்டலுக்கு ஆளாகக்கூடிய பகிரப்படாத ஸ்கிரீன்ஷாட்கள் எதுவும் ஏற்கனவே கடந்து, டிஸ்கார்டில் பதிவேற்றம் செய்யப்படவில்லை. 

இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால் பாதிப்பு பற்றி, நீங்கள் அசல் வெளியீட்டை அணுகலாம் பின்வரும் இணைப்பு.


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுகளுக்குப் பொறுப்பு: AB இன்டர்நெட் நெட்வொர்க்ஸ் 2008 SL
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.