Skip to main content

કોસોરી સ્માર્ટ એર ફ્રાયરમાં રીમોટ કોડ એક્ઝેક્યુશન નબળાઈઓ

સિસ્કો ટેલોસને તાજેતરમાં કોસોરી સ્માર્ટ એર ફ્રાયરમાં બે કોડ એક્ઝેક્યુશન નબળાઈઓ મળી.

કોસોરી સ્માર્ટ એર ફ્રાયર એ એક WiFi- સક્ષમ રસોઈ માટે વપરાતું ઉપકરણ છે જે વિવિધ પદ્ધતિઓ અને સેટિંગ્સથી ખોરાકને રાંધે છે. વપરાશકર્તાઓ ડિવાઇસની Wi-Fi સુવિધાઓનો ઉપયોગ રસોઈ શરૂ કરવા અને બંધ કરવા, રેસીપી માર્ગદર્શિકાઓ શોધવા અને રસોઈની સ્થિતિને મોનિટર કરવા માટે પણ કરતા હોય છે.

TALOS-2020-1216 (CVE-2020-28592) અને TALOS-2020-1217 (CVE-2020-28593) એ રીમોટ કોડ એક્ઝેક્યુશન નબળાઈઓ છે જે કોઈ હુમલાખોરને ઉપકરણમાં દૂરસ્થ કોડ ઇન્જેક્શન કરવાની મંજૂરી આપી શકે છે. આ અનુમાનિત રૂપે સામેવાળાનું તાપમાન, રાંધવાના સમય અને એર ફ્રાયર પરની સેટિંગ્સમાં ફેરફાર કરવાની મંજૂરી આપી શકે છે અથવા વપરાશકર્તાની જાણ બહાર તેને પ્રારંભ કરી શકે છે. આમાંની કેટલીક નબળાઈઓ પર કામ કરવા માટે સામેવકળાની એર ફ્રાયરની ફિઝિકલ એક્સેસ હોવી આવશ્યક છે.

કોઈ હુમલાખોર એક અનન્ય JSON ઓબ્જેક્ટ ધરાવતા ડિવાઇસને વિશિષ્ટ ક્રાફ્ટ કરેલા પેકેટ મોકલીને આ નબળાઈઓનો ઉપયોગ કરી શકે છે, જે તેમને મનસ્વી કોડ ચલાવવા દેશે.

સિસ્કોની નબળાઈ જાહેર કરવાની નીતિના પાલન અનુસાર, કોસોરી વતી કોઈ સત્તાવાર ફિક્સ ઉપલબ્ધ ન હોવા છતાં સિસ્કો ટેલોઝે આ નબળાઈઓ જાહેર કરી છે. નીતિમાં દર્શાવેલ પ્રમાણે 90-દિવસના સમયગાળા દરમિયાન કોરોસીએ યોગ્ય પ્રતિસાદ આપ્યો ન હતો.

ટેલોઝે પરીક્ષણ કર્યું છે અને પુષ્ટિ આપી છે કે કોસોરી સ્માર્ટ 5.8-ક્વાર્ટ એર ફ્રાયર સીએસ-158,એએફ વર્ઝન 1.1.0 આ નબળાઈઓ દ્વારા શોષણ(Exploit) કરી શકે છે.

SNORTⓇ નિયમ આ નબળાઈઓ વિરુદ્ધ શોષણના પ્રયાસોને શોધી કાઢશે: 56729. અતિરિક્ત નિયમો ભવિષ્યમાં પ્રકાશિત થઈ શકે છે અને વર્તમાન નિયમો ફેરફારને આધીન છે, વધારાની નબળાઈ માહિતી આવવાની બાકી છે. અત્યારની નિયમની માહિતી માટે, ફાયરપાવર મેનેજમેન્ટ સેન્ટર અથવા કંપનીની વેબ Snort.org નો સંદર્ભ લેવા જણાવ્યું હતું.

સાભાર : જોન મુનશોવ (ટેલોસ  ઈંટેલીઝન્સ બ્લોગ) 


Comments

Popular posts from this blog

નેતાજી સુભાષબાબુ માટે - ભારતની સેવા કાજે આ સિપાહીએ છોડી દીધું હતું પાકિસ્તાન

તે દૌર 1947 નું હતું જ્યારે ભારતને આઝાદીની સોગાત ની સાથે વિભાજનનું જખમ પણ મળ્યું.પાકિસ્તાનથી ઘણા લોકો પોતાના જીવ બચાવી જલ્દીથી ભારત પહોંચવા માંગતા હતા,કેમકે ગઈકાલે જે પોતાનો દેશ હતો આજે તે બીજા કોઈનો થઈ ગયો.એ જ રીતે ઘણા લોકો ભારતમાંથી પાકિસ્તાન ચાલ્યા ગયા. તેનો પરિવાર ખૂબ ઈજ્જત અને રુતબાવાળો હતો, પરંતુ વતનથી મહોબ્બત માટે તેમણે પરિવારના ઘણા લોકોને પણ ખુદા-હાફિઝ કહીને પોતાના ભારતની રાહ પકડી. એ શખ્સ હતો આઝાદ હિંદ ફોજનો એક વફાદાર સિપાઈ જેણે આઝાદીની જંગમાં અંગ્રેજી સેનાનો બહાદુરીથી સામનો કર્યો હતો.ફોજના સુપ્રીમ કમાન્ડર નેતાજી સુભાષચંદ્ર બોઝને તેના પર ખૂબ ગર્વ હતો.તેનું નામ હતું જનરલ શાહનવાઝ ખાન. ભારત-પાક વિભાજનમાં જ્યારે લાખો મુસલમાન ભારત છોડી પાકિસ્તાન જઈ રહ્યા હતા ત્યારે તેમણે કહ્યું કે મારો દેશ હિન્દુસ્તાન હતો અને તે જ રહેશે.એટલા માટે હું માતૃભૂમિની સેવા માટે ભારત જઈ રહ્યો છું.એ વખતે ઘણા લોકોએ તેમને સમજાવ્યા અને ભડકાવ્યા પણ ખરા.કોઈએ એમ પણ કહ્યું કે ત્યાં કોઈ તમને પાણી માટે પણ નહીં પૂછે અને શક્ય છે કે કોઈ તમારા નામની સાથે જોડાયેલ ખાન શબ્દ સાંભળીને તમને મારી પણ નાંખે. પરંતુ જનરલ શાહનવાજને ...

ગુજરાત ફાયર લાયસન્સ

ગુજરાત ફાયર લાયસન્સ એ ફાયર સલામતીની જરૂરી ડોક્યુમેન્ટ છે. ફાયર લાયસન્સ ગુજરાતમાં ફાયર સિક્યુરિટી પ્રમાણપત્ર અને નો-ઓબ્જેક્શન સર્ટિફિકેટ (એનઓસી) તરીકે પણ ઓળખાય છે. શહેરી વિકાસ અને શહેરી ગૃહ વિભાગ, ગુજરાત સરકાર ફાયર લાયસન્સ (ફાયર એનઓસી) માંગણી કરેલ સ્થળ માટે પ્રમાણિત કરવા માટે અધિકૃત સંસ્થા છે. ગુજરાતમાં, ગુજરાત ફાયર પ્રિવેન્શન અને લાઇફ સેફ્ટી મેઝર્સ એક્ટ, 2018 માં ઉલ્લેખિત વિવિધ પ્રકારના વ્યવસાયો માટે ફાયર લાઇસન્સની આવશ્યકતા હોય છે. ફાયર લાઇસન્સનું મુખ્ય કાર્ય સલામતીના માન્ય નિયમોને વ્યવસાયની અનુરૂપ સાબિત કરવાનું હોય છે. ગુજરાત ફાયર પ્રિવેન્શન અને લાઇફ સેફ્ટી મેઝર ઍક્ટ : ગુજરાત ફાયર પ્રિવેન્શન અને લાઇફ સેફટી મેઝર એક્ટ, ગુજરાત રાજ્યમાં ફાયર સેવાઓ અને સંબંધિત બાબતોની સ્થાપના અને જાળવણી કરે છે. આ અધિનિયમ મુજબ, સરકારી અધિકૃત અધિકારીને ઇમારતો, કાર્યશાળા, જાહેર મનોરંજનની જગ્યાઓ, વેરહાઉસના અથવા બિલ્ડીંગના માલિકોને આગના જોખમ સામે સાવચેતી લેવાની જરૂર હોય છે. ગુજરાત ફાયર લાયસન્સનું મહત્વ : - તમામ ઇમારતો અથવા જગ્યાઓ અથવા કબજો જેમ કે નીચે વર્ણવેલ તે ગુજરાત ફાયર પ્રિવેન્શન એક્ટ હેઠળ માન્ય ફાયર લ...

ઓળખ ચોરી (IDENTITY THEFT), ફ્રોડ અને સાયબરક્રાઇમ

  સ્પામ અને ફિશિંગ ( Spam and Phishing ) લોકોને આકર્ષિત કરવાના હેતુથી તમને કોઈ લિંક પર ક્લિક કરવા અથવા કોઈ કડી ખોલવા માટેના પ્રયત્નોમાં સાયબર ક્રિમિનલ્સ ખુબ જ    સમજદાર હોય છે. દૂષિત( Malicious ) ઇમેઇલ: દૂષિત ઇમેઇલ વિશ્વનીય નાણાકીય સંસ્થા ,  ઇ-કોમર્સ સાઇટ ,  સરકારી એજન્સી અથવા કોઈપણ અન્ય સેવા અથવા વ્યવસાય દ્વારા આવ્યો હોય એવું આબેહુબ લાગે છે. આવા ઈમેઈલ હંમેશાં તમને ઝડપથી કાર્યવાહી કરવા વિનંતી કરે છે ,  કારણ કે તમારા એકાઉન્ટ સાથે ચેડા કરવામાં આવ્યા છે ,  તમારો ઓર્ડર પૂરો થઈ શકતો નથી અથવા ધ્યાન આપવાની બીજી તાકીદ કરવામાં આવે છે.   જો તમને ખાતરી હોતી નથી કે ઇમેઇલ વિનંતી કાયદેસર છે કે નહીં ,  તો તેને આ પ્રમાણેના પગલાથી ચકાસવાનો પ્રયાસ કરો:   કંપનીની ઓફિશિયલ વેબસાઇટ પર અથવા ક્રેડિટ કાર્ડ પાછળ ,  એકાઉન્ટ સ્ટેટમેન્ટ પર આપવામાં આવેલી માહિતીનો ઉપયોગ કરીને - સીધો કંપનીનો સંપર્ક કરો કે આમાં સત્યતા શું છે ?   સર્ચ એન્જીન યા અન્ય રીતે   ઓનલાઇન આવી કંપની માટે શોધ કરો - પરંતુ ઇમેઇલમાં જે માહિતી આપેલી છે એ રીતે ક્યારેય શોધશો નહ...