ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពនៅក្នុងក្រុមហ៊ុន Snyk នៅក្នុងចក្រភពអង់គ្លេសទម្លាយនូវព័ត៌មានជាច្រើននៃកំហុសឆ្គងដ៏ធ្ងន់ធ្ងរដែលឆ្លងទៅលើគម្រោងរាប់ពាន់នៅលើប្រព័ន្ធ ecosystems និងអនុញ្ញាតឱ្យអ្នកវាយប្រហារជាច្រើនទទួលនូវការប្រតិបត្តិនូវកូដនៅលើប្រព័ន្ធគោលដៅជាច្រើន។ បញ្ហានេះត្រូវគេដាក់ឈ្មោះថា “Zip Slip” ដែលមានកំហុសឆ្គងទៅលើ file overwrite ដែលមានការឆ្លងទៅលើប្រព័ន្ធនេះរួមមាននូវ Formats ជាច្រើនដូចជាប្រភេទ tar, jar, war, cpio, apk, rar និង 7z ។
គម្រោងរាប់ពាន់ជាច្រើនត្រូវប្រើប្រាស់នូវកម្មវិធី programming languages ជាច្រើនដូចជា JavaScript, Ruby, Java, .NET និង Go— ចេញពី Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains និងជាច្រើនទៀតក៏មាននូវ Codes និង Libraries ជាច្រើន។ នៅក្នុងកំហុសនៅលើ Codes និង Libraries នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការបើកទៅលើ Folder ស្ថិតនៅក្នុងនេះបាន។
នៅក្នុងការវាយប្រហារនៃ Zip Slip អ្នកវាយប្រហារអាចធ្វើការប្រតិបត្តិនៃការ overwrite ទៅលើ files ឬ configuration files ក្នុងការបោកបញ្ឆោទទៅលើប្រព័ន្ធគោលដៅរបស់អ្នកប្រើប្រាស់ និងការប្រតិបត្តិទៅលើការបញ្ជាពីចម្ងាយ។ ក្រុមហ៊ុនក៏បញ្ចេញនូវ proof-of-concept Zip Slip ជាមួយនឹងវីដេអូដែលបង្ហាញអំពីការវាយប្រហារនៅលើចំណុចរងគ្រោះនៃ Zip Slip នេះ៕
ប្រភព៖
https://thehackernews.com/2018/06/zipslip-vulnerability.html