Ti o ba ti lo nilokulo, awọn abawọn wọnyi le gba awọn ikọlu laaye lati ni iraye si laigba aṣẹ si alaye ifura tabi fa awọn iṣoro ni gbogbogbo
Alaye ti tu nipa a palara (tẹlẹ katalogi labẹ CVE-2023-21036) mọ ninu ohun elo Markup lo ninu fonutologbolori Google ẹbun lati gbin ati satunkọ awọn sikirinisoti, eyiti ngbanilaaye mimu-pada sipo apakan ti gige tabi alaye ti a ṣatunkọ.
Awọn ẹlẹrọ Simon Aarons ati David Buchanan, ti o ri kokoro ati ki o gbe awọn kan ọpa fun imularada ti ẹri ti Erongba, lẹsẹsẹ, wọn pe Cropalypse ati ṣe akiyesi pe “kokoro yii buru” fun awọn eniyan ti o ni ifiyesi nipa ikọkọ wọn.
Iyẹn tumọ si ti ẹnikan ba ni idaduro aworan gige rẹ, wọn le gbiyanju lati gba apakan ti o han gbangba pe o padanu pada. Ti aworan ba jẹ atunṣe pẹlu awọn iwe-kikọ lori awọn agbegbe kan, awọn agbegbe naa le han ni aworan ti a mu pada. Eyi ko dara fun asiri.
Iṣoro naa farahan nigbati o n ṣatunkọ awọn aworan PNG ni Markup ati pe o ṣẹlẹ nipasẹ otitọ pe nigba ti a ba kọ aworan titun ti a ti tunṣe, data naa wa lori faili ti tẹlẹ laisi gige, iyẹn ni, faili ikẹhin ti o gba lẹhin ṣiṣatunṣe pẹlu iru faili orisun, ninu eyiti data naa wa. fisinuirindigbindigbin data.
Iṣoro naa O ti wa ni classified bi a palara. niwon a olumulo le fí ohun satunkọ aworan lẹhin yiyọ kókó data, sugbon kosi yi data si maa wa ninu awọn faili, biotilejepe o jẹ ko han nigba deede wiwo. Lati mu data to ku pada, iṣẹ wẹẹbu acropalypse.app ti ṣe ifilọlẹ ati apẹẹrẹ Python ti a tẹjade.
Ailagbara naa ti n ṣafihan lati igba Google Pixel 3 jara ti awọn fonutologbolori ti ṣe ifilọlẹ ni ọdun 2018 ni lilo famuwia ti o da lori Android 10 ati awọn ẹya tuntun. Ọrọ naa ti wa titi ni imudojuiwọn famuwia Android March fun awọn fonutologbolori Pixel.
"Ipari ipari ni pe faili aworan ti wa ni ṣiṣi laisi asia [ti a ge kuro], nitorina nigbati a ba kọ aworan ti a ge, aworan atilẹba ko ni gedu," Buchanan sọ. "Ti faili aworan titun ba kere, opin atilẹba ti wa ni osi sile."
Awọn chunks ti faili ti o yẹ ki o ge ge ni a rii pe o le gba pada bi awọn aworan lẹhin ṣiṣe diẹ ninu imọ-ẹrọ iyipada ti ilana ikawe funmorawon zlib, eyiti Buchahan sọ pe o ni anfani lati ṣe “lẹhin awọn wakati diẹ ti ndun ni ayika.” ». Abajade ipari jẹ ẹri ti imọran pe ẹnikẹni ti o ni ẹrọ Pixel ti o kan le ṣe idanwo fun ara wọn.
O ti gbà pe Ọrọ naa jẹ nitori iyipada ihuwasi ti ko ni iwe-aṣẹ ti ọna ParcelFileDescriptor.parseMode() , ninu eyiti, ṣaaju itusilẹ ti Syeed Android 10, asia “w” (kọ). jẹ ki faili naa ge ge nigba igbiyanju lati kọ si faili ti o ti wa tẹlẹ, ṣugbọn lati igba itusilẹ Android 10, ihuwasi naa yipada ati fun gige, o nilo lati sọ ni pato “wt” (kọ, truncate) asia ati nigbati a ti sọ asia “w” naa, isinyi ko yọkuro lẹhin ti atunko .
Ni kukuru, abawọn “aCropalypse” gba ẹnikan laaye lati ya aworan sikirinifoto PNG ti o ge ni Markup ki o ṣe atunṣe o kere diẹ ninu awọn atunṣe si aworan naa. O rorun lati foju inu wo awọn oju iṣẹlẹ ninu eyiti oṣere buburu kan le ṣe ilokulo agbara yẹn. Fun apẹẹrẹ, ti oniwun Pixel kan ba lo Markup lati ṣe atunṣe aworan kan ti o pẹlu alaye ifura nipa ararẹ, ẹnikan le lo abawọn lati ṣafihan alaye yẹn.
O tọ lati sọ pe Google ti patched Cropalypse ninu wọn Awọn imudojuiwọn aabo Pixel March (ni kete ṣaaju awọn alaye ti ailagbara ti tu silẹ):
Gbogbo rẹ dara ati dara ni ọjọ iwaju: ni bayi o le ṣe irugbin, tunṣe, ati pin laisi iberu pe awọn aworan iwaju rẹ le gba pada, ṣugbọn ko si awọn sikirinisoti ti ko pin ti o jẹ ipalara si ilokulo ti tẹlẹ ti kọja, ti gbejade si Discord, ati bẹbẹ lọ.
Níkẹyìn ti o ba nifẹ lati mọ diẹ sii nipa rẹ nipa ailagbara, o le kan si atẹjade atilẹba ni ọna asopọ atẹle.
Jẹ akọkọ lati sọ ọrọ