ព័ត៌មាន

ចំនុចរងគ្រោះដែលមិនទាន់បាន Patch នៅលើ Linux Pling Store Apps អាចបណ្តាលអោយមានការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ (Supply-Chain Attacks)

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពជាច្រើនបានរកឃើញនូវចំនុចរងគ្រោះដ៏គ្រោះថ្នាក់ដែលមិនទាន់បាន Patch ដែលប៉ះពាល់ទៅលើ Pling-based free and open-source software (FOSS) នៅលើប្រព័ន្ធប្រតិបត្តិការ  Linux platform ដែលបណ្តាលអោយមានការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គត់ (supply-chain attacks)​និងអាចបញ្ជាការប្រតិបត្តិកូដពីចម្ងាយបាន (remote code execution (RCE))។

image

សហស្ថាបនិក  Fabian Bräunlein របស់ក្រុមហ៊ុន  Positive Security និយាយថា “ប្រព័ន្ធប្រតិបត្តិការ Linux នេះគឺផ្អែកនៅលើ  Pling platform ដែលពេលនេះមានចំនុចរងគ្រោះនៅក្នុង  [cross-site scripting] ដែលបណ្តាលអោយមានការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គត់ (supply-chain attack) បាន។ នៅលើ PlingStore app នេះបណ្តាលអោយមានការបញ្ជាកូដពីចម្ងាយបាន។”

image

គួរបញ្ជាក់ផងដែរថា PlingStore នេះអនុញ្ញាតអោយអ្នកប្រើប្រាស់ជាច្រើនអាចធ្វើការ search និងតម្លើងនូវ  Linux software, themes, icons និង  add-ons ជាច្រើនទៀតដែលអ្នកប្រើប្រាស់មិនអាចធ្វើការដោនឡូតបានតាមរយៈ software center របស់ក្រុមហ៊ុនចែកចាយនោះ។ នៅក្នុងចំនុចខ្សោយដែលមិនបាន Patch នេះ អ្នកវាយប្រហារអាចដំណើរការនូវកូដមេរោគ JavaScript code សម្រាប់ការបញ្ជាពីចម្ងាយបាន។ ដូចនេះ សូមអ្នកប្រើប្រាស់ធ្វើការ patch ជាបន្ទាន់៕