امنیت

January 15, 2024
11:12 دوشنبه، 25ام دیماه 1402
کد خبر: 158030

کشف آسیب‌پذیری در Atril و امکان اجرای کد از راه دور

یک آسیب‌پذیری با شناسه CVE-2023-51698 و شدت بحرانی 9.6 درAtril (نمایشگر اسناد چند صفحه‌ای ساده) کشف شده است که امکان تزریق فرمان و اجرای کد از راه دور را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری هنگامی که قربانی یک سند دستکاری شده را باز می‌کند یا با استفاده از یک سند CBT ساخته شده مخرب که یک بایگانی TAR است، روی یک پیوند /URL دستکاری شده و مخرب کلیک می‌کند، به مهاجم دسترسی فوری به سیستم قربانی را از این طریق خواهد داد. این آسیب‌پذیری به دلیل وجود قطعه کدی است که در Atril وجود دارد و مسئول رسیدگی به اسناد comic book (.cbr, .cbz, .cbt, .cb7) می‌باشد. اسناد comic book شامل آرشیوهایی (archives) حاوی تصاویر (images) هستند.

محصولات تحت تأثیر
این آسیب‌پذیری Atril و سیستم‌عامل‌های محبوب لینوکس با MATE، Cinnamon و برخی محیط‌های دسکتاپ Xfce را تحت تاثیر قرار می‌دهد.

• سیستم عامل‌های تحت تأثیر:

• Kali Linux (Popular OS among Security professionals, researchers)
• Parrot OS (Popular OS among Security professionals, researchers)
• Ubuntu-Mate
• Xubuntu
• Fedora Cinnamon
• Fedora Mate
• Manjaro Mate
• Manjaro Cinnamon
• Ubuntu Kylin (Official Chinese Ubuntu)
• Kylin OS V10 ( OS said to be used in the Chinese Government Sectors )

• مؤلفه نرم‌افزاری تحت تأثیر: همه نسخه‌ها از جمله آخرین نسخه‌های Atril Document Viewer (reader سند پیش‌فرض برای محیط MATE).

توصیه‌های امنیتی
هنوز وصله‌ایی برای این آسیب‌پذیری منتشر نشده است و به کاربران توصیه می‌شود به محض انتشار راهکار و وصله امنیتی، در اسرع وقت نسبت به ارتقاء Atril به آخرین نسخه‌ اقدام نمایند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.