براساس گزارشهای منتشر شده، تعداد قابل توجهی از محبوبترین برنامههای ارتباطی در بستر VoIP، از یک کتابخانه متن باز چندرسانهای با نام PJSIP استفاده میکنند که دارای آسیبپذیریهای متعددی است که بهتازگی اصلاح شدهاند.
آسیبپذیری این کتابخانه شباهت بسیار زیادی به کتابخانه لاگگیری Apache Log4J دارد که آسیبپذیری آن در ماه دسامبر سال گذشته افشاء شد. برای مثال، کتابخانه PJSIP در کیت ابزار استریسک (Asterisk) مورد استفاده قرار گرفته است که سالانه بیش از دو میلیون بار دانلود میشود و روی بیش از یک میلیون سرور در ۱۷۰ کشور مختلف در حال اجرا است.
به گفته محققان، پنج آسیبپذیری نقص حافظه در کتابخانه PJSIP پس از گزارش به توسعهدهندگان آن، اصلاح شدهاند که این آسیبپذیریها، از طریق یک API در تلفنهای IP مانند VoIP و برنامههای ارتباطی برای کنفرانس استفاده میشود.
براساس اطلاعات موجود، یک مهاجم با بهرهبرداری از این آسیبپذیریها میتواند به مرحله اجرای کد از راه دور در یک برنامه یا سرور که در آن از کتابخانه PJSIP استفاده میشود، دسترسی پیدا کند.
توضیحات بیشتر: