Google प्रोजेक्ट झिरो जीनोम अनुप्रयोगांमध्ये वापरल्या जाणार्या libxslt लायब्ररीमध्ये सुरक्षा त्रुटी उघडकीस आणते
गूगल प्रोजेक्ट झिरो एक सुप्रसिद्ध सुरक्षा कार्यसंघ आहे ज्यास Google स्वतःच विविध विक्रेत्यांद्वारे विकसित केलेल्या सॉफ्टवेअर उत्पादनांमध्ये असुरक्षा शोधण्याचे काम सोपविण्यात आले आहे. त्याच्या प्रकटीकरणाच्या प्रक्रियेमध्ये विक्रेत्याला खाजगी बग खाजगीरित्या अहवाल देणे समाविष्ट आहे, सर्व तपशील सार्वजनिकपणे उघड होण्यापूर्वी त्यांना पॅच सोडण्यासाठी 90 दिवस दिले जातात. काही अटींमध्ये, अतिरिक्त 30-दिवसांचा अतिरिक्त कालावधी देखील प्रदान केला जातो.
या दृष्टिकोनामागील कल्पना अशी आहे की कंपन्या येणा cussaling ्या सार्वजनिक प्रकटीकरणाच्या धमकीखाली सुरक्षा समस्यांचे निराकरण करण्यासाठी वेगवान काम करतील. आम्ही यापूर्वी प्रोजेक्ट झिरोचे कार्य विस्तृतपणे कव्हर केले आहे, कारण त्यात असुरक्षिततेची नोंद आहे विंडोज, Chromeosआणि लिनक्स सेन्टोस, इतर अनेक उत्पादनांमध्ये? आता, Google प्रोजेक्ट झिरोने लोकप्रिय जीनोम लायब्ररीमध्ये सुरक्षा समस्या उघडकीस आणली आहे.
libxslt LIBXML2 लायब्ररीवर आधारित आहे आणि जीनोम प्रोजेक्ट अंतर्गत ओपन-सोर्स सॉफ्टवेअर (ओएसएस) म्हणून तयार केले गेले होते. एक्सटेंसिबल स्टाईलशीट भाषा परिवर्तन (एक्सएसएलटी) वापरून एक्सएमएल दस्तऐवजांचे रूपांतर करण्यासाठी याचा वापर केला जातो. उदाहरण वापरअदृषूकप्रकरणांमध्ये वेब ब्राउझरमध्ये एक्सएमएल दस्तऐवज एचटीएमएलमध्ये रूपांतरित करणे, ऑफिस applications प्लिकेशन्समध्ये एक्सएमएल सामग्री प्रस्तुत करणे आणि बरेच काही समाविष्ट आहे. बरेच अनुप्रयोग या लायब्ररीचा उपयोग वेबवर पीएचपी आणि पायथनमधील अंमलबजावणीसह, डॉक्सीजन, ग्नुमरिक आणि जीनोम हेल्प सिस्टमसह इतरांमध्ये करतात.
गूगल प्रोजेक्ट झिरोने काही महिन्यांपूर्वी Libxslt मध्ये एक सुरक्षा त्रुटी शोधली आणि 6 मे 2025 रोजी जीनोमला खासगीरित्या अहवाल दिला, ज्यामुळे समस्येचे निराकरण करण्यासाठी ते मानक 90 दिवस दिले गेले. मधील सुरक्षा छिद्र संबंधित आपल्याला तांत्रिक तपशील शोधू शकता येथे उत्तम तपशीलपरंतु थोडक्यात, एलईबीएक्सएसएलटीमध्ये वापर-नंतर-फ्री (यूएएफ) असुरक्षितता आहे कारण परिणाम मूल्य वृक्ष (आरव्हीटी) काही प्रकरणांमध्ये योग्यरित्या मुक्त होत नाही. या असुरक्षिततेच्या संभाव्य धोक्यांमध्ये विभाजन दोषांमुळे दुर्भावनायुक्त कोड आणि सॉफ्टवेअर क्रॅश कार्यान्वित करण्यासाठी वापरू शकणार्या वाईट कलाकारांसाठी हल्ला पृष्ठभाग म्हणून काम करणे समाविष्ट आहे.
गूगल प्रोजेक्ट झिरोने या बगला अनुक्रमे पी 2 आणि एस 2 ची प्राधान्य आणि तीव्रता प्रदान केली आहे, याचा अर्थ असा आहे की हा मध्यम-अपराध त्रुटी आहे ज्याचा संबंधित अनुप्रयोगांवर महत्त्वपूर्ण परिणाम होऊ शकतो.
विशेष म्हणजे, प्रोजेक्ट झिरोच्या अहवालापासूनच ग्नोम देखील या बगचा मागोवा घेत आहे आणि सुरक्षा कार्यसंघाच्या अंतिम मुदतीनंतरही ही विशिष्ट वस्तू सार्वजनिकपणे दृश्यमान बनविली आहे. एक द्रुत वाचन धागा असे सूचित करते की काही लोक फिक्सवर काम करत असताना, प्रक्रियेत पॅचने काही इतर घटक तोडल्यामुळे ते अद्याप पूर्ण झाले नाही. समुदायाने हे देखील नमूद केले आहे की लिबएक्सएसएलटीकडे कोणताही सक्रिय देखभालकर्ता नाही (मूळ निर्माता डॅनियल वेलार्डने काही महिन्यांत प्रतिसाद दिला नाही), अपस्ट्रीम पॅच कधीही सोडला जाण्याची शक्यता नाही आणि डाउनस्ट्रीम सिस्टमला आवश्यक आहे हे शक्य आहे “स्वत: साठी रोख“.
तसे, एकूणच परिस्थिती थोडी अवघड आहे. Google ने त्याच्या 90-दिवसांच्या अंतिम मुदतीच्या समाप्तीनंतर बगचा खुलासा केला आहे, टीत्याला जीनोम प्रोजेक्टची कोणतीही तक्रार नाही परंतु या समस्येचा मालक असलेल्या सक्रिय libxslt देखभालकर्त्याच्या कमतरतेमुळे हा एक प्रकारचा असहाय्य आहे आणि बग स्वतः आता प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) कोडसह सार्वजनिक आहे, जो धमकी अभिनेते संभाव्य शोषणासाठी संभाव्य फायदा घेऊ शकतात.
