 |
| ภาพจาก PC Magazine |
Ivan Fratric นักวิจัยด้านความมั่นคงของ Google Project Zero ได้เปิดตัวการโจมตีการเรียกใช้โค้ดจากระยะไกลโดยใช้ประโยชน์จากเทคโนโลยีที่เป็นพื้นฐานของ Zoom และแอปพลิเคชันอื่น ๆ
วิธีของ Fratric มีเป้าหมายคือบั๊กใน XMPP ซึ่งเป็นโปรโตคอลที่คล้ายกับการส่งข้อความโต้ตอบแบบทันที (IM) ที่อยู่บนฐานของ XML
วิธีการนี้ใช้การฝังโค้ดหรือส่วนหนึ่งของโค้ด XMPP ไว้ภายในส่วนของโค้ด XMPP ตัวอื่น ผู้โจมตีสามารถใช้ไคลเอนต์ (client) ให้แอบส่งส่วนของโค้ดไปกับข้อความที่ปกติ ซึ่งเซิร์ฟเวอร์ที่อยู่ระหว่างทางยอมรับและส่งต่อ แต่ที่ฝั่งของไคลเอนต์ที่เป็นเหยื่อจะแปลความว่าเป็นโค้ดสองส่วน
Fratric แจ้งเตือน Zoom ซึ่งได้ออกแพตช์แก้แล้ว แต่ Fratric เตือนว่าเป้าหมายอื่นๆ ก็มีความเสี่ยงต่อบั๊ก XMPP เช่นกัน
อ่านข่าวเค็มได้ที่: PC Magazine
ไม่มีความคิดเห็น:
แสดงความคิดเห็น