تم اكتشاف ست ثغرات أمنية في protobuf.js، وهي مكتبة أساسية لـ Node.js، تتيح تنفيذ التعليمات البرمجية عن بُعد أو رفض الخدمة. المشكلة ليست تقنية فقط: فالقائمون على صيانة المشروع هم متطوعون دون تمويل، بينما تستخدمه شركات عملاقة مثل Google دون المساهمة في أمانه.
أخطاء في التسلسل تفتح الباب للهجمات 🛡️
تؤثر الثغرات على معالجة المخازن المؤقتة والتحقق من الأنواع في protobuf.js، مما يسمح للمهاجم بإرسال رسائل مشوهة تؤدي إلى تجاوز سعة الذاكرة أو تنفيذ تعليمات برمجية عشوائية. جذر المشكلة يكمن في نقص الموارد اللازمة لعمليات التدقيق المستمرة. تعتمد الشركات الكبرى على هذه المكتبة في أنظمة حيوية، لكنها لا تستثمر في صيانتها، تاركة الأمان في أيدي عدد قليل من المطورين غير المدفوع لهم.
المصدر المفتوح: حيث تطلب الشركات ولا تدفع 💸
تستخدم Google وAmazon وغيرها protobuf.js لنقل البيانات في سحاباتها، ولكن عند ظهور الأعطال، يكتب التصحيح متطوع بين فترتي عمله الحقيقي. الأمر أشبه بطلب الجار لحراسة منزلك مجانًا، وعندما يدخل لص، تشتكي من أنه لم يضع أقفالًا أفضل. يعتمد المواطن على أنظمة تُدعم بالقهوة وحسن النية، بينما تحقق الشركات أرباحًا بالملايين.