កំហុសឆ្គង RCE ដ៏ធ្ងន់ធ្ងរមួយត្រូវរកឃើញនៅលើប្រព័ន្ធ EOS Smart Contract System នៅលើ Blockchain

0

ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពរកឃើញនូវកំហុសឆ្គងថ្មីៗជាច្រើននៅលើ EOS blockchain platform ដែលកំហុសមួយអាចអនុញ្ញាតឱ្យក្រុមហេគឃ័រធ្វើការគ្រប់គ្រងទាំងស្រុងនៅលើ node servers ដែលដំណើរការនៅលើកម្មវិធី Applications ជាច្រើននៅលើ blockchain នេះ។ EOS គឺជាប្រភេទ open source smart contract platform ដែលមានឈ្មោះថា ‘Blockchain 3.0,’ ដែលអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍កម្មវិធីក្នុងការបង្កើតនូវ applications ជាច្រើននៅលើ blockchain ដូចគ្នាទៅនឹង Ethereum ។

តាមរយៈការរកឃើញរបស់ក្រុមអ្នកស្រាវជ្រាវរបស់ចិននៅ Qihoo 360— លោក Yuki Chen របស់ក្រុម Vulcan team និងលោក Zhiniang Peng របស់ក្រុមសុវត្ថិភាព Core security team— កំហុសឆ្គងនេះគឺមានបញ្ហានៅលើ buffer out-of-bounds write issue ស្ថិតនៅក្នុងមុខងារនេះដែលប្រើប្រាស់ដោយ nodes server នោះ។ នៅក្នុងការប្រតិបត្តិទៅលើការបញ្ជាពីចម្ងាយនេះទៅលើ Node គោលដៅនោះ អ្នកវាយប្រហារត្រូវធ្វើការ Upload ទៅលើ WASM file នូវកូដដែលសរសេរនៅក្នុង WebAssembly ទៅលើ Server នោះ។

នៅក្នុងការវិភាគទិន្នន័យរងគ្រោះនៅក្នុង WASM file ត្រូវប្រើប្រាស់សម្រាប់ធ្វើការគ្រប់គ្រងទៅលើ supernode នៅក្នុង EOS network—servers ដែលធ្វើការប្រមូលនូវព័ត៌មាននៃប្រតិបត្តិការ និងការខ្ចប់វាជា Blocks ។ សម្រាប់ super node system អាចធ្វើការគ្រប់គ្រងបាន ហើយអ្នកស្រាវជ្រាវបញ្ជាក់ថា អ្នកវាយប្រហារគ្រប់គ្រងទៅលើ virtual currency transactions និង privacy data នៅក្នុងប្រព័ន្ធ EOS network នៅក្នុង node system ដូចជាការផ្លាស់ប្តូររូបិយប័ណ្ណនៅលើ Digital currency ទិន្នន័យឯកជនភាព key user profiles និងជាច្រើនទៀត៕

ប្រភព​៖

https://thehackernews.com/2018/05/eos-blockchain-smart-contract.html

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here