A Protobuf.js végzetes hibája, amiről mindenki megfeledkezik
A Protobuf.js, a Google Protocol Buffers JavaScript-megvalósítása, súlyos távoli kódfuttatási hiba miatt került a figyelem középpontjába. Ez a könyvtár gyakran használatos Node.js-környezetben, kommunikációs szolgáltatásokban, valós idejű alkalmazásokban vagy épp szervezeti adatbázisokban, ahol strukturált adatokat tárolnak vagy továbbítanak.
Veszélyes kódbefecskendezés és sérülékenység
A hiba abból fakad, hogy a Protobuf.js dinamikus JavaScript-kódot generál az üzenetsémákból. A sémaazonosítók (például az üzenetnév) ellenőrizetlenül bekerülnek a generált függvényekbe, így bárki, aki manipulált sémát tud betölteni az alkalmazásba, tetszőleges kódot futtathat le. Ez különösen veszélyes lehet, hiszen így elérhetővé válnak a szerver környezeti változói, adatbázisai és egyéb belső rendszerei, sőt, akár oldalcsatornás támadások is kivitelezhetők.
Milyen rendszerek érintettek?
A hibával szemben a Protobuf.js 8.0.0, 7.5.4 és korábbi verziói teljesen védtelenek. Az Endor Labs javasolja, hogy az érintett rendszerek azonnal frissítsenek 8.0.1 vagy 7.5.5 verziókra. Az új verziókban a javítás eltávolítja a veszélyes karaktereket a típusnevekből, így ellehetetleníti a hiba kihasználását. Ugyanakkor hosszabb távon az lenne az ideális, ha többé nem adnák át a támadók által befolyásolható azonosítókat a Function konstruktorának.
Fő a biztonság: megelőzés és ellenőrzés
Mindezek miatt a fejlesztőknek nemcsak gyors frissítésre kell figyelniük. Célszerű átvizsgálni az összes közvetett függőséget, a sémák betöltését pedig mindig nem megbízható bemenetként kezeljék, és ahol csak lehet, előre fordított vagy statikus sémákat használjanak éles rendszeren. A gyors kihasználhatóság ellenére jelenleg nincs elérhető információ aktív, valós támadásokról, de a javításokat március–április során minden érintett csomagra kiadták.
👪 Az utóbbi években a kannabiszhasználat rohamosan nőtt az idősebb korosztály körében is: egyre többen fordulnak hozzá krónikus fájdalom, álmatlanság vagy szorongás enyhítésére...
😱 Már régóta ismert, hogy a fülzúgás – vagyis az állandó, zavaró csengés, búgás vagy zúgás a fülben – milliók mindennapjait nehezíti meg világszerte...
Eric Barone, a Csillagharmat-völgy (Stardew Valley) megalkotója az utóbbi években minden energiáját következő játékára, a Kísértetjárta Csokoládékészítőre (Haunted Chocolatier) fordítja...
📊 A Hyperliquid nevű decentralizált derivatív tőzsde egyre nagyobb figyelmet kelt az amerikai pénzügyi óriások, a CME Group és az Intercontinental Exchange (ICE) körében...
Egy lényeges szempont, hogy az Antarktisz körüli tengeri jégtakaró szinte példátlan gyorsasággal kezdett eltűnni 2015-től, pedig azt megelőzően évtizedekig stabilnak tűnt...
Többek között több mint 20 000 önkéntes adatait elemezték kutatók, és kiderült: számos embernél akkor is fennáll a szív- és érrendszeri betegségek kockázata, ha a hagyományos kezeléseket megfelelően kapják...
Ha valaki mostanában tervezte, hogy új grafikus kártyára vált, valószínűleg jobban teszi, ha még vár: az RTX 5090 eddig sem volt olcsó, de a legújabb hírek szerint az Nvidia további, akár 100 ezer forintos áremelést fontolgat...
Kanye West indiai fellépésére ismét nem kerül sor: a május 23-ra tervezett, az újdelhi Jawaharlal Nehru Stadionban tartandó koncertet a szervezők biztonsági aggályok miatt törölték...
Az automatizált csevegőrobotok elárasztották az internetet, átalakítva a nőket és lányokat érő bántalmazás formáit, miközben egészen új, veszélyes módszereket is teremtenek...
💪 A világhírű színésznő, Emilia Clarke a mai napig hihetetlennek tartja, hogy életben maradt két súlyos agyvérzés után, amelyeket a Trónok harca (Game of Thrones) forgatása alatt szenvedett el...
🔥 Érdemes megérteni, hogy két óriás, az Apple és az OpenAI régóta együtt dolgozik, hogy Siri, az Apple hangasszisztense még okosabb és hasznosabb legyen...
💦 Az Antarktiszon, a McMurdo-szárazvölgyek fagyott vidékén terül el a Don Juan Pond, amely különös tulajdonságairól híres: ebben a mindössze 10 centiméter mély, hat focipályányi tavacskában annyi só, pontosabban kalcium-klorid található, hogy még mínusz 50 Celsius-fokos hidegben sem fagy be a víz...
🤸 Hatalmas várakozás előzi meg a Yellowstone (Yellowstone) sorozat új mellékszálát, a Dutton Ranchot, ami már most az év egyik legkeresettebb streamingtartalma...
Két OpenAI-munkatárs gépét érte támadás a TanStack ellátási láncát érintő Mini Shai-Hulud incidens során, de a vállalat szerint a történtek nem okoztak érdemi fennakadást a működésben...
A technológia és programozás világa egyre kevésbé vonzó a fiatalok számára, mivel a mesterséges intelligencia folyamatosan átveszi a kezdő munkaköröket...
Kezdő futóként gyakran csapdába esik az ember: túlárazott, csúcskategóriás fülhallgatókat nem akar venni, de a saját lihegése nem elég motiváló társ az edzéshez...
👽 Az életkor előrehaladtával testünkben egyre több olyan sejt halmozódhat fel, amelyek már leálltak az osztódással, de ahelyett, hogy elpusztulnának, makacsul kitartanak – ezek az úgynevezett „zombi sejtek”, vagyis szeneszcens sejtek...
