Meghackeltek egy 54 éves programot

Pontus Johnson, a svéd stockholmi KTH Királyi Műszaki Intézet professzora publikált egy sérülékenységet, amely a Universal Turing Machine (UTM)-t érinti, és kódfuttatásra ad lehetőséget. A kutató megjegyzi, hogy a hiba felfedezésének gyakorlati haszna szinte semmi, ugyanis az univerzális Turing-gép meglehetősen ritka napjainkban, ám mégis rendkívül fontos az elméleti kutatás szempontjából: Az univerzális Turing-gép közismerten a legegyszerűbb, legabsztraktabb értelmezése a mai számtógépnek, így egy ilyen hiba felfedezése jelentős hatással lehet az összetettebb rendszerekre is.

Az elméleti számítógépes modell támadása során Pontus kihasználta a bemeneti felhasználói hitelesítés hiányát, ami egy szimulált szalagos olvasófej programozási hibája miatt következik be. Az UTM beviteli értékeket végrehajtó parancsa – már ha lehet annak nevezni – egyetlen számjegyet követő kódrészletekből áll, ami megadja a gépnek, hogy az alkalmazás futtatható. Johnson kihasználása egyszerű: az eredeti kód elé, a beviteli részben elhelyezett egy “bevitel vége” parancsot, és az azt követő kódokat a program beolvasta és végrehajtotta: az SQLi (vagy inkább kód injection) kezdetleges verziójaként is értelmezhető módon.

 Pontus Johnson sérülékenyége, ami a  CVE-2021-32471 jelölést kapta, arra mutat rá, hogy a Turing-gép sem teljesen biztonságos.

FORRÁS