พบโค้ดร้าย ที่แสดงให้เห็นการเจาะช่องโหว่ที่ข้ามผ่านระบบซิกเนเจอร์ดิจิตอลบนจาวา ถูกแชร์อยู่บนโลกออนไลน์ ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2022-21449 มีความร้ายแรงระดับสูง (คะแนน CVSS อยู่ที่ 7.5) กระทบกับ Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18 และ Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2 เป็นช่องโหว่ในส่วนของ Elliptic Curve Digital Signature Algorithm (ECDSA)
มันเป็นกลไกเข้ารหัสข้อมูลที่ลงลายเซ็นดิจิตอลบนข้อความและข้อมูลสำหรับตรวจสอบความถูกต้องและที่มาของคอนเท็นต์ ซึ่งโดยสรุปคือ การปลอมการเข้ารหัสหรือที่เรียกว่า Psychic Signatures ในจาวานี้ ทำให้สามารถใช้ซิกเนเจอร์ว่างเปล่าเพื่อหลอกว่าเป็นข้อมูลที่ถูกต้องได้
ผู้โจมตีสามารถใช้ช่องโหว่นี้สร้างซิกเนเจอร์เพื่อข้ามกระบวนการยืนยันตัวตนได้ สำหรับโค้ดนี้ถูกเผยแพร่โดยนักวิจัยด้านความปลอดภัย Khaled Nassar เป็นการใช้ไคลเอนต์ที่มีช่องโหว่กับเซิร์ฟเวอร์ TLS อันตราย ซึ่งทำให้มันสามารถยอมรับซิกเนเจอร์ที่ไม่ถูกต้องและอาจจะเป็นอันตรายได้
อ่านเพิ่มเติมที่นี่ – THN
//////////////////
