นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Guardara ค้นพบช่องโหว่แบบ Zero-day บนซอฟต์แวร์โอเพ่นซอร์สจากบริษัท EMQ ที่อาจทำให้อุปกรณ์หลายอย่างที่เกี่ยวข้องทำงานล้มเหลวได้ โดยเฉพาะอุปกรณ์ทางการแพทย์
บั๊กนี้พบบนเอนจิ้นส่งข้อความอย่าง NanoMQ ซึ่งเป็นบัสส่งข้อมูลแบบมัลติโปรโตคอลแบบ MQ Telemetry Transport (MQTT) ใช้สำหรับการประมวลผลแบบ Edge ที่รวบรวมข้อมูลแบบเรียลไทม์จากสมาร์ทวอช, เซ็นเซอร์ในรถยนต์, และเซ็นเซอร์อื่นๆ อีกมากมาย
โดยกระทบอย่างมากกับอุปกรณ์ IoT ที่ใช้ตัว NanoMQ ทั้งนี้ Zsolt Imre ผู้ก่อตั้งและซีทีโอของ Guardana กล่าวบน GitHub ว่าปัญหามาจากความยาวของแพ็กเก็ต MQTT ซึ่งถูกออกแบบมาให้เป็นโปรโตคอลขนาดเล็กมาก
ด้วยการดีไซน์ให้ใช้แบนด์วิธและพื้นที่บนอุปกรณ์ IoT น้อยที่สุดโดยเฉพาะ ถ้ามีการสร้างแพ็กเก็ต MQTT ที่ขนาดน้อยกว่าที่ระบบคาดไว้ ก็อาจทำให้กลไก memcpy ที่ได้ค่าขนาดแพ็กเก็ตดังกล่าวจัดพื้นที่บนหน่วยความจำที่ไม่ควรจะใช้งานให้ จนทำให้ NanoMQ ค้างในที่สุด
ที่มา : ITPro
