Az egyik legnépszerűbb JavaScript-könyvtár kritikus hibája veszélybe sodorja a szervereket
A Google Protocol Buffers JavaScript-implementációja, a protobuf.js komoly biztonsági rést tartalmaz, amelyen keresztül támadók távoli kódvégrehajtást érhetnek el. A könyvtár a Node Package Manager (npm) ökoszisztémájában rendkívül elterjedt, és valós idejű alkalmazásokban vagy adatbázis-kezelés során gyakran használják. A hibát az okozza, hogy a könyvtár dinamikusan generál JavaScript-függvényeket a beérkező sémák alapján, ugyanakkor hiányzik a sémákból származó azonosítók, például az üzenetnevek megfelelő ellenőrzése.
Könnyen kihasználható sebezhetőség
Ennek következtében egy rosszindulatú támadó manipulált sémát küldhet, így tetszőleges kódot juttathat a rendszerbe, amely aztán a szerver vagy a helyi alkalmazás feldolgozása során automatikusan lefut. Ez nemcsak a szerverekhez biztosíthat hozzáférést, hanem veszélybe sodorhatja a környezeti változókat, adatbázisokat és hitelesítési adatokat is, és a támadó akár a teljes infrastruktúrában továbbterjedhet. A helyzet a vártnál súlyosabb, mivel a támadás nemcsak szervereken, hanem fejlesztői gépeken is végrehajtható, ha azok ismeretlen sémákat dolgoznak fel.
Azonnali frissítést javasolnak
A hiba a protobuf.js 8.0.0 és 7.5.4 verziókat, illetve az ezeknél korábbi kiadásokat érinti. Javasolt azonnal frissíteni legalább 8.0.1 vagy 7.5.5 verzióra, amelyekben már megtalálható a biztonsági javítás. Ez a frissítés eltávolít minden nem alfanumerikus karaktert a típusnevekből, így megakadályozva a támadók manipulációját. Ez rámutat, hogy a szoftverfrissítés mellett a függőségek auditálása, a sémák előzetes fordítása, valamint az ismeretlen sémák kellő óvatossággal való kezelése is kiemelten fontos.
🎮 A Philips bemutatta legújabb, letisztult, fehér dizájnú, 27 colos, dupla üzemmódú gaming monitorát, amely hamarosan Nyugat-Európában is elérhető lesz...
Az Intel mostantól hazai gyártású Core Series 3-as processzorokat kínál, amelyeket Hillsboro és Chandler gyáraiban, 2 nanométeres technológiával készít...
Rendkívüli események sora rázta meg a tudományos világot az elmúlt héten: egy üstökös látványos pusztulását örökítették meg a Nap közelében, miközben az amerikai Potomac folyó került az ország legveszélyeztetettebb vízfolyásainak élére, főként az adatközpontok rohamos terjeszkedése miatt...
Sokaknak gyerekként csak álom volt egy Neo Geo konzol a ’90-es években, de most végre eljött a visszavágás ideje: a legendás SNK-csoda modern verziója, az új Neo Geo AES+ hamarosan itt van!..
💪 Évről évre emberek milliói töltenek hosszú órákat irodai székben vagy képernyők előtt, sokan pedig hajlamosak azt gondolni, hogy a sok ülés elkerülhetetlenül rontja az egészséget...
🦋 Jellemző példa erre, hogy miközben évtizedek óta a klímaváltozás jelképének számítanak a jégtáblák szélébe kapaszkodó jegesmedvék, néhány populáció váratlanul jól alkalmazkodtak a változó környezethez...
Viharos nap a történelemben: kezdetét veszi az amerikai függetlenségi háború, elismerik az Egyesült Államokat, megszületik Belgium semlegessége, és pápát választanak...
Az új, Ausztriában és Seattle-ben fejlesztett okos nyakörveknek köszönhetően sosem volt ilyen egyszerű odafigyelni kutyánk vagy macskánk egészségére – akkor is, ha nem tudnak szólni, mi bántja őket...
Az iPhone 17e igazi közönségkedvenc lett, ami nem is csoda: végre egy olyan középkategóriás Apple-mobil, ami miatt nem érzi magát senki másodosztályúnak...
💬 Nem hagyható figyelmen kívül, hogy a kezdetekben az egyik legnagyobb érv a Pixel telefonok mellett az volt, hogy a készülékek hosszú távon megkapták a legújabb funkciókat...
Egy lényeges szempont, hogy a Google Photos évről évre egyre népszerűbb, köszönhetően a felhasználóbarát kezelésnek és a felhőalapú tárolás kényelmének...
Erre utal többek között az, hogy az elmúlt időszakban meredeken nőtt a továbbtanulási szándék a fiatal felnőttek körében, még olyan gazdasági környezetben is, ahol folyamatosan bővül a munkaerőpiac...
🐛 Felmerül a kérdés, hogy mennyi meglepetést tartogat még a természet, amikor akár a hétköznapi koffein is képes megváltoztatni egy egész hangyakolónia működését...
🛹 Ez a jelenség jól illusztrálható azzal, hogy a régészek egy ritka, tökéletesen kör alakú szentélyre bukkantak, amelyet a helyi istenség tiszteletére emeltek mintegy 2 200 évvel ezelőtt...
🔍 Egy különleges, kettős angolszász temetkezés feltárása során derült ki, hogy 1400 évvel ezelőtt egy tizenéves lány és hét-nyolc éves öccse együtt talált örök nyugalomra egy közös sírban a délnyugat-angliai Cherington mellett...
🛡 A Payouts King nevű zsarolóvírus egyre kifinomultabb módszerrel támadja a vállalati rendszereket: a támadók a nyílt forráskódú QEMU emulátort használják arra, hogy rejtett virtuális gépeket futtassanak a megfertőzött számítógépeken...
