ஒரு பாதுகாப்பு ஆராய்ச்சியாளர், ஆப்பிள், மைக்ரோசாப்ட் மற்றும் பேபால் உட்பட 35 க்கும் மேற்பட்ட பெரிய நிறுவனங்களின் உள் அமைப்புகளை ஒரு மென்பொருள் விநியோக சங்கிலி தாக்குதலைப் பயன்படுத்தி (வழியாக) மீற முடிந்தது. ப்ளீப்பிங் கம்ப்யூட்டர் )
பாதுகாப்பு ஆய்வாளர் அலெக்ஸ் பிர்சன் Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla மற்றும் Uber போன்ற நிறுவனங்களின் அமைப்புகளைத் தாக்குவதற்கு 'சார்பு குழப்பம்' எனப்படும் சில திறந்த-மூல சுற்றுச்சூழல் அமைப்புகளில் தனித்துவமான வடிவமைப்புக் குறைபாட்டைப் பயன்படுத்திக் கொள்ள முடிந்தது.
PyPI, npm மற்றும் RubyGems உள்ளிட்ட ஓப்பன் சோர்ஸ் களஞ்சியங்களில் தீம்பொருளைப் பதிவேற்றுவது இந்தத் தாக்குதலில் ஈடுபட்டது, பின்னர் அவை தானாகவே பல்வேறு நிறுவனங்களின் உள் பயன்பாடுகளில் கீழ்நோக்கி விநியோகிக்கப்பட்டன. சமூகப் பொறியியல் அல்லது ட்ரோஜான்கள் தேவையில்லாமல், பாதிக்கப்பட்டவர்கள் தானாகவே தீங்கிழைக்கும் தொகுப்புகளைப் பெற்றனர்.
திறந்த மூல களஞ்சியங்களில் அதே பெயர்களைப் பயன்படுத்தி பிர்சானால் போலியான திட்டங்களை உருவாக்க முடிந்தது, ஒவ்வொன்றும் ஒரு மறுப்பு செய்தியைக் கொண்டுள்ளது, மேலும் டெவலப்பரிடமிருந்து எந்த நடவடிக்கையும் தேவையில்லாமல் பயன்பாடுகள் தானாகவே பொது சார்பு தொகுப்புகளை இழுக்கும் என்பதைக் கண்டறிந்தது. சில சமயங்களில், PyPI தொகுப்புகள் போன்றவற்றில், உயர் பதிப்பைக் கொண்ட எந்தவொரு தொகுப்பும் அது எங்கிருந்தாலும் முன்னுரிமை அளிக்கப்படும். இது பல நிறுவனங்களின் மென்பொருள் விநியோகச் சங்கிலியை வெற்றிகரமாக தாக்குவதற்கு பிர்சனுக்கு உதவியது.
கார்ப்பரேட் நெட்வொர்க்கில் அவரது பாகம் வெற்றிகரமாக ஊடுருவியதைச் சரிபார்த்த பிறகு, பிர்சான் தனது கண்டுபிடிப்புகளை சம்பந்தப்பட்ட நிறுவனத்திற்குப் புகாரளித்தார், மேலும் சிலர் அவருக்கு ஒரு பிழை பரிசு வழங்கினர். மைக்ரோசாப்ட் அவருக்கு அதன் மிக உயர்ந்த பக் பவுண்டரி தொகையான $40,000 வழங்கியது மற்றும் இந்த பாதுகாப்பு பிரச்சினையில் ஒரு வெள்ளை அறிக்கையை வெளியிட்டது, அதே நேரத்தில் ஆப்பிள் கூறியது Bleeping Computer சிக்கலைப் பொறுப்புடன் வெளிப்படுத்தியதற்காக ஆப்பிள் செக்யூரிட்டி பவுண்டி திட்டத்தின் மூலம் பிர்சான் வெகுமதியைப் பெறுவார். பிர்சான் இப்போது $130,000 க்கு மேல் பக் பவுண்டி திட்டங்கள் மற்றும் முன்-அங்கீகரிக்கப்பட்ட ஊடுருவல் சோதனை ஏற்பாடுகள் மூலம் சம்பாதித்துள்ளார்.
தாக்குதலின் பின்னணியில் உள்ள வழிமுறையின் முழு விளக்கம் Alex Birsan's இல் கிடைக்கும் நடுத்தர பக்கம் .
குறிச்சொற்கள்: இணைய பாதுகாப்பு , பிழை வரம்
பிரபல பதிவுகள்