మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్. ల్యాప్టాప్ జి 7
మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్ V2 మూడు దుర్బలత్వాలతో బాధపడుతోంది: కమాండ్ ఇంజెక్షన్ దుర్బలత్వం, విరిగిన యాక్సెస్ కంట్రోల్ దుర్బలత్వం మరియు చెడు జంట దాడి దుర్బలత్వం. మొట్టమొదటి దుర్బలత్వం మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్ V2 సాఫ్ట్వేర్ వెర్షన్లలో 2.0.8350 నుండి 2.0.8372 వరకు మాత్రమే పరీక్షించబడింది మరియు ఈ పరిధిలోని అన్ని సంస్కరణలను ప్రభావితం చేస్తుంది. విరిగిన ప్రాప్యత నియంత్రణ మరియు చెడు జంట దాడి దుర్బలత్వం పరీక్షించిన పరిధిలో సాఫ్ట్వేర్ వెర్షన్ 2.0.8350 ను మాత్రమే ప్రభావితం చేస్తున్నట్లు కనుగొనబడింది. సాఫ్ట్వేర్ యొక్క ఇతర సంస్కరణలు పరీక్షించబడలేదు మరియు దుర్బలత్వం ఇంకా ఉపయోగించబడలేదు. కమాండ్ ఇంజెక్షన్ దుర్బలత్వం లేబుల్ కేటాయించబడింది CVE-2018-8306 , మరియు దీనికి సాపేక్షంగా మితమైన ప్రమాద అంచనా ఇవ్వబడింది.
మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్ అనేది హార్డ్వేర్ పరికరం, ఇది మిరాకాస్ట్ ఎనేబుల్ చేసిన మైక్రోసాఫ్ట్ విండోస్ పరికరాల నుండి స్క్రీన్లను ప్రసారం చేయడానికి అనుమతిస్తుంది. స్క్రీన్ ప్రసారం చేయడానికి యంత్రాంగం వై-ఫై డైరెక్ట్ కనెక్షన్ మరియు మిరాకాస్ట్ ఆడియో / వీడియో ట్రాన్స్మిషన్ ఛానెల్ను ఉపయోగించుకుంటుంది. అదనపు భద్రత కోసం ఉపయోగంలో ఉన్న Wi-Fi కనెక్షన్ యొక్క గుప్తీకరణ ప్రకారం ఈ ప్రక్రియ WPA2 గుప్తీకరించబడింది.
పరికరాన్ని డిస్ప్లేతో జత చేయడానికి, యంత్రాంగం పుష్ బటన్ కనెక్షన్తో పాటు పిన్ కనెక్షన్ను అందిస్తుంది. కనెక్షన్ స్థాపించబడిన తర్వాత, ప్రతి తదుపరి కనెక్షన్ కోసం పరికరాన్ని ధృవీకరించాల్సిన అవసరం లేదు.
ఇంతకుముందు సాధించిన ఈ అధికారాన్ని కొనసాగిస్తూ, డిస్ప్లే అడాప్టర్ పేరు “న్యూడెవిస్ నేమ్” పరామితిలో సెట్ చేయబడినప్పుడు కమాండ్ ఇంజెక్షన్ దుర్బలత్వం సంభవిస్తుంది. అక్షరాలు కమాండ్ లైన్ స్క్రిప్ట్ల నుండి తప్పించుకునే పరిస్థితిని సృష్టిస్తూ, పరికరం బూట్ లూప్లోకి సెట్ చేయబడుతుంది, అక్కడ అది సరిగ్గా పనిచేయడం ఆగిపోతుంది. ఈ దుర్బలత్వం కోసం ప్రభావితమైన స్క్రిప్ట్ “/cgi-bin/msupload.sh” స్క్రిప్ట్.
పరికరం జత చేయడానికి పుష్ బటన్ కాన్ఫిగరేషన్ పద్ధతిని ఉపయోగించినప్పుడు రెండవ దుర్బలత్వం, విరిగిన ప్రాప్యత నియంత్రణ సంభవించవచ్చు, పిన్ ధృవీకరణ కోసం పరికరానికి భౌతిక ప్రాప్యత అవసరం లేకుండా పరికరం వైర్లెస్ పరిధిలో ఉండాలి. ఈ పద్ధతిలో మొదటి కనెక్షన్ స్థాపించబడిన తర్వాత, తదుపరి కనెక్షన్లకు ధృవీకరణ అవసరం లేదు, రాజీపడే పరికరానికి అనియంత్రిత నియంత్రణను అనుమతిస్తుంది.
మూడవ దుర్బలత్వం, చెడు జంట దాడి, దాడి చేసేవాడు ఒక వినియోగదారుని సరైన MSWDA కి కనెక్ట్ చేయడం ద్వారా అతని లేదా ఆమె MSWDA పరికరానికి కనెక్ట్ అయ్యేటప్పుడు మరియు వినియోగదారు కనెక్ట్ కావడానికి దాడి చేసేవారి స్వంత MSWDA ను మాత్రమే ఉంచినప్పుడు సంభవిస్తుంది. కనెక్షన్ స్థాపించబడిన తర్వాత, అతను / అతను తప్పు పరికరానికి కనెక్ట్ అయ్యాడని వినియోగదారుకు తెలియదు మరియు దాడి చేసే వ్యక్తి యూజర్ యొక్క ఫైల్లు మరియు డేటాకు ప్రాప్యత కలిగి ఉంటాడు, అతని / ఆమె పరికరంలో కంటెంట్ను ప్రసారం చేస్తాడు.
మైక్రోసాఫ్ట్ ప్రారంభంలో 21 న సంప్రదించబడిందిస్టంప్ఈ దుర్బలత్వాలకు సంబంధించి మార్చి. సివిఇ నంబర్ 19 న కేటాయించబడిందివజూన్ మరియు ఫర్మ్వేర్ నవీకరణలు 10 న విడుదలయ్యాయివజూలై. అప్పటి నుండి, మైక్రోసాఫ్ట్ తన బహిరంగ ప్రకటనతో ఇప్పుడే ముందుకు వచ్చింది సలహా . మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్ V2 సాఫ్ట్వేర్ యొక్క 2.0.8350, 2.0.8365 మరియు 2.0.8372 సంస్కరణలను బలహీనతలు సమిష్టిగా ప్రభావితం చేస్తాయి.
మైక్రోసాఫ్ట్ 'ముఖ్యమైనది' అని లేబుల్ చేయబడిన భద్రతా నవీకరణలు ప్రచురించిన భద్రతా బులెటిన్లో భాగంగా వారి వెబ్సైట్లోని మూడు వెర్షన్లకు అందుబాటులో ఉన్నాయి. వినియోగదారులు మైక్రోసాఫ్ట్ వైర్లెస్ డిస్ప్లే అడాప్టర్ విండోస్ అప్లికేషన్ను తెరిచి, “సెక్యూరిటీ సెట్టింగ్” టాబ్ కింద “పిన్ కోడ్తో పెయిర్” పక్కన ఉన్న పెట్టెను తనిఖీ చేయాలని సూచించిన మరొక ఉపశమనం అవసరం. పరికరానికి భౌతిక ప్రాప్యత దాని స్క్రీన్ను చూడటానికి మరియు పిన్ కోడ్లతో సరిపోలడానికి ఇది అవసరమని నిర్ధారిస్తుంది, అవాంఛిత వైర్లెస్గా చేరుకోగల పరికరం సెటప్కు సులభంగా కనెక్ట్ కాదని నిర్ధారిస్తుంది. మూడు సంస్కరణలను ప్రభావితం చేసే దుర్బలత్వాలు a సివిఎస్ఎస్ 3.0 బేస్ స్కోరు 5.5 మరియు తాత్కాలిక స్కోరు 5.