أرشيف الوسم: ثغرة برمجية

جوجل تغضب مايكروسوفت للمرة الثانية بكشفها عن ثغرة في ويندوز

كُتب يوم بواسطة

في بداية هذا الأسبوع، قامت شركة جوجل Google بالكشف عن ثغرة أمنية في متصفح شركة مايكروسوفت Microsoft المعروف بإسم Microsoft Edge وذلك قبل أن تتمكن مايكروسوفت من إيجاد حل لإغلاق الثغرة.

وعلى ما يبدو أن هنالك ثغرة أخرى، فقد قام فريق Project Zero التابع لجوجل والذي يضم عدة باحثين في مجال الأمن بالكشف عن خلل أمني آخر في نظام Windows 10 والذي فشلت شركة مايكروسوفت بإيجاد حل له قبل انتهاء مدة الـ90 يوم التي تمنحها جوجل للشركة صاحبة الخلل وذلك قبل الإعلان عن الثغرة أو الخلل للعامة، حيث قامت جوجل بإرسال تقرير خاص لمايكروسوفت من أجل إعلامها بالثغرتين المكتشفتين منذ شهر تشرين الثاني، لكن الشركة حددت واحدة فقط في تصحيح الأخطاء الأخير المعلن عنه يوم الثلاثاء.

الثغرة الأخيرة المكتشفة والتي لم تتم معالجتها تتعلق بما يسمى رفع الامتيازات، أي أن المستخدم العادي يمكن أن يحصل على الامتيازات التي تكون عادةً للمسؤول فقط ضمن النظام، حيث قالت شركة مايكروسوفت أن هذا الخلل يمكن تصنيفه بالهام ولكن لا يمكن أن يُصنّف بالحرج نظراً لعدم إمكانية استغلاله عن بعد.

ولكن سيبقى هذا الخلل مصدر خطورة خاصة إذا قام المهاجم بالجمع بين هذه الثغرة من جهة وكود برمجي منفصل عن بعد من جهة أخرى بهدف الوصول إلى صلاحيات المسؤول، وحتى لو كانت فرصة حدوث مثل هذا السيناريو ضعيفة إلا أنه من الواجب على الشركة إصلاح الخلل في أقرب وقت ممكن.

من غير الواضح متى ستقوم الشركة بإيجاد حل لهذه الثغرة الجديدة، خاصة مع وجود ثغرة سابقة في متصفح Microsoft Edge تنتظر هي الأخرى حلاً لها، وتأتي هذه الثغرات الجديدة في وقت تتصاعد فيه الخلافات بين شركتي جوجل ومايكروسوفت حول سياسة الأولى بالكشف عن الثغرات الأمنية والإعلان عنها حتى قبل إيجاد الحل المناسب، حيث قامت شركة مايكروسوفت باتباع هذه السياسة العام الماضي عندما تم الكشف عن خلل أمني في متصفح Chrome، لكن الوقت كان كافياً لدى جوجل حتى تقوم بإصلاح المشكلة.

سياسة جوجل التي تنص على ضرورة الكشف عن الثغرات الأمنية المكتشفة بعد انتهاء مدة الـ90 يوم كانت موضوع للنقاش خلال الفترة الأخيرة، خاصة أنها تعرضت للانتقاد بنفس القدر الذي تعرضت فيه للإشادة، لكن الموضوع يبدو مختلفاً مع شركة مايكروسوفت، فنظام Windows وبحسب الكثير من الأدلة كان يعاني من وجود عدة ثغرات أمنية، حيث كافحت مايكروسوفت دائماً من أجل إغلاق الثغرات المكتشفة والحد من تأثيرها، ويمكن القول أن سياسة جوجل بالكشف عن الثغرات وممارسة الضغط على مايكروسوفت من أجل إصلاح الأخطاء بأقرب وقت هو أمر جيد بالمجمل ويهدف إلى إبقاء صناعة البرمجيات آمنة إلى حد كبير، لكن في نفس الوقت لا بد من الاعتراف بصرامة فريق Project Zero في موضوع الكشف عن الثغرات، حيث تلعب المصالح التجارية التنافسية بين الشركات دوراً كبيراً في ذلك.

الجدير بالذكر أن لدى جوجل بعض الاستثناءات الخاصة بسياستها المتبعة بالكشف عن الثغرات، فقد تعطي فترات أطول من المدة المعروفة، ولكنها قد تلجأ إلى الكشف المبكر عن الثغرات في حال تم استغلالها أمنياً، كما حصل عام 2016 عندما اضطرت شركة جوجل للكشف عن ثغرة أمنية كبيرة في Windows بعد 10 أيام فقط من إعلام شركة مايكروسوفت بهذه الثغرة، كما كشفت عن ثغرة zero-day قبل أن يتم إيجاد حل مناسب لإغلاق الثغرة.

 

مقالات قد تعجبك:
جوجل أغضبت مايكروسوفت بكشفها عن ثغرة في متصفحها Edge
آبل ترسل تحديث iOS لإصلاح ثغرة الحرف الهندي
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
كيفية تنصيب ويندوز 10

آبل ترسل تحديث iOS لإصلاح ثغرة الحرف الهندي

كُتب يوم بواسطة

قامت شركة آبل Apple بإطلاق تحديث iOS 11.2.6 والذي يتضمّن حلاً لمشكلة المحرف الخاص من اللغة الهندية Telugu والذي تسبّب بانهيار أجهزة الآيفون وجعل العديد من التطبيقات مثل تطبيق الرسائل و Facebook و Messenger و WhatsApp غير قابلة للوصول.

تم اكتشاف الثغرة خلال الأسبوع الماضي، حيث تسمح تلك الثغرة بإرسال حرف محدد من قبل أي شخص إلى أجهزة الآيفون مما يؤدي لانهيار الجهاز وتعطيل الوصول لبعض التطبيقات، وقد أثّرت هذه الثغرة على تطبيق Safari وتطبيق الرسائل المضمّن في نظام macOS و Apple Watch، وأطلقت الشركة تحديثات لأنظمة watchOS و tvOS و macOS لإيقاف حالات الانهيار التي تحدث على هذه المنصات أيضاً.

وكانت الشركة قد وعدت بإطلاق تحديث قبل إطلاق التحديث المنتظر iOS 11.3، وبالفعل فإن هذا االتحديث وصل تحت اسم iOS 11.2.6، علماً أن كل النسخ Beta من الأنظمة iOS و macOS و watchOS و tvOS قد أصلحت مشكلة الانهيار.

الجدير بالذكر أن التحديث الأخير هو المرة الثالثة خلال الأشهر القليلة الماضية التي تضطر فيها الشركة لإصدار تحديث عاجل لنظام iOS 11 من أجل حل مشاكل الثغرات التي تسبب انهيار الجهاز، ففي شهر كانون الأول قامت الشركة بإصدار تحديث iOS رئيسي وذلك بعد ساعات من بدء ظهور حالات انهيار وتعطل لأجهزة هواتف آيفون، أما في الشهر الماضي فقد أرسلت الشركة تحديث iOS 11.2.5 بعد ظهور مشكلة تجمد هاتف آيفون بسبب إرسال رابط إليه!

 

مقالات قد تعجبك:
إصابات جسدية وجروح لبعض موظفي مقر آبل الجديد بسبب أبوابه الزجاجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
إصلاح HomePod من آبل سيكلّف كشراء واحد جديد تقريباً
آبل حذفت مؤقتاً تطبيق Telegram من متجرها بسبب مواد إباحية
ساعة شبيهة بساعة آبل لكن مع بطارية تصمد لمدة شهر

جوجل أغضبت مايكروسوفت بكشفها عن ثغرة في متصفحها Edge

كُتب يوم بواسطة

تُعتبر شركتا جوجل Google و مايكروسوفت Microsoft من الشركات المتنافسة بشدة على الأقل خلال السنوات العشر الماضية، حيث كان لدى الشركتين العديد من نقاط الاختلاف حول الكشف عن الثغرات ونقاط الضعف الأمنية في الفترة الأخيرة.

وعلى ما يبدو فإن شركة جوجل تعمل على إثارة هذا الخلاف مجدداً من خلال الكشف عن ثغرة أمنية في متصفح Microsoft Edge وذلك قبل توفير تحديث لسد الثغرة، علماً أن جوجل كانت قد أخبرت مايكروسوفت بالثغرة الأمنية منذ شهر تشرين الثاني من العام الماضي ومنحتها مدة 90 يوم من أجل العمل على سد هذه الثغرة وإصلاح المشكلة وذلك قبل نشر الموضوع بشكل عام، حيث تُعتبر الثغرة متوسطة من حيث شدة الخطورة.

كما وقامت شركة جوجل بتوفير مدة 14 يوم إضافية بعد انتهاء المدة السابقة من أجل إصلاح المشكلة، إلا أن شركة مايكروسوفت فشلت في إيجاد الحل المناسب لأن الموضوع أصبح أكثر صعوبةً وتعقيداً من المراحل الأولى، وأصبح من غير الواضح متى ستقوم الشركة بتوفير التحديث الخاص بالمشكلة، ويقول المهندس المسؤول في شركة جوجل عن الإبلاغ حول الثغرات الأمنية بأن شركة مايكروسوفت لم تستطع حتى الآن تحديد موعد محدد لسد الثغرة.

تتعلق المشكلة بين الشركتين بما إذا كان يتعيّن على جوجل أن تقوم بالكشف عن المشاكل الأمنية للعامة قبل أن يتم توفير التحديثات اللازمة، حيث تتبع جوجل سياسة الكشف عن هذه المشاكل بعد إعطاء مهلة مدتها 90 يوم، ويمكن أن تُمدد إلى مهلة إضافية في أحسن الأحوال، أما في أسوئها فقد يتم الكشف فوراً عن الثغرة في حال تم استغلالها، كما حدث عام 2016 حيث قامت جوجل بالكشف عن ثغرة أمنية في نظام Windows بعد 10 أيام فقط من إبلاغ مايكروسوفت، بالإضافة إلى قيام جوجل بالكشف عن ثغرة zero-day قبل توفير التحديث الخاص لسد الثغرة.

تجدر الإشارة إلى وجود استثناءين كبيرين لقواعد الكشف عن الثغرات لدى جوجل، وذلك بما يخص ثغرتي Meltdown و Spectre، فبعد اكتشاف الثغرتين من قبل مهندسي جوجل كان لدى شركات Intel و AMD حوالي 6 أشهر قبل أن يتم الكشف عن الثغرتين للعامة، علماً أن الأجهزة التي تعمل بنظامي Chrome OS و Android قد تأثرت بالثغرتين إلى جانب الأجهزة العاملة بنظم Windows و Linux و macOS و iOS.

وتأتي الحادثة الأخيرة الخاصة بثغرة متصفح Microsoft Edge لتعيد النقاش فيما إذا كان يحق لشركة جوجل القيام بالكشف العلني عن الثغرات قبل إيجاد الحلول المناسبة من قبل الشركات المتضررة، أم أن الأمر يعود لمصالح تجارية بحتة بين الشركات وخاصة المتنافسة منها.

 

مقالات قد تعجبك:
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية
اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها
مايكروسوف تصدر التحديث الأمني الثاني للتعامل مع ثغرة Spectre
ثغرة أمنية في برنامج بصمات الأصابع لأجهزة Lenovo
ثغرة برمجية تسبب تجمّد هواتف آيفون ما الحل ؟

اكتشاف ثغرة جديدة في iOS وآبل وعدت بإصلاحها

كُتب يوم بواسطة

كان لدى شركة آبل Apple عدة أسابيع سيئة ومليئة بالمشاكل البرمجية في نظامها الجديد وذلك قبل نهاية عام 2017، ويبدو أن العام 2018 لن يخلو هو الآخر من المشاكل المتلاحقة، حيث تم اكتشاف خطأ جديد في نظام iOS 11 يسبب انهيار هاتف آيفون ويمنعه من الوصول إلى تطبيق الرسائل والتطبيقات المعروفة الأخرى مثل WhatsApp و Facebook و Messenger و Outlook و Gmail.

والغريب في الأمر أن كل ذلك يحدث عندما يقوم أحد المستخدمين بإرسال محرف معين إلى الهاتف، وقد تم رصد الثغرة الجديدة من مدونة Mobile World الإيطالية، وقام موقع The Verge باختبار الثغرة وتأكد من حدوثها على مجموعة من هواتف آيفون التي تعمل بنظام iOS 11.2.5، بالإضافة على نسخ نظام macOS في كل من تطبيقات Safari و Messages، وستعمل الشركة على إصلاح الخطأ المكتشف من خلال تحديث للنظام وذلك قبل إطلاق تحديث iOS 11.3 في ربيع هذا العام.

المحرف الذي يتسبب بكل هذه الأمور هو حرف خاص من اللغة الهندية المسماة Telugu، حيث سينهار نظام الهاتف حالما يتم استلام هذا المحرف وسيتعطل تطبيق الرسائل في الهاتف بسبب قيامه بمحاولة تحميل المحرف وفشله في ذلك، وعلى ما يبدو فإنه لا توجد طريقة لإمكانية الوصول إلى تطبيق الرسائل من جديد إلا عندما يقوم مستخدم بإرسال رسالة أخرى إلى الهاتف والقيام بمحاولة حذف الرسالة السابقة التي تتضمن المحرف الهندي.

وتم القيام بتجريب إرسال المحرف من خلال تطبيقات الطرف الثالث مثل WhatsApp  و Facebook Messenger و Outlook و Gmail التي تعمل على نظام iOS وانهارت هذه التطبيقات وأصبحت غير قابلة للوصول في اللحظة التي تم استقبال رسالة المحرف من خلالها، والأسوأ من ذلك هو صعوبة حذف الرسالة المسببة للمشكلة على بعض التطبيقات مثل WhatsApp مالم تتواجد إمكانية للوصول إلى التطبيق من خلال موقع الويب، مع العلم أن بعض التطبيقات مثل Telegram و Skype لم تتأثر بالمشكلة كما أن النسخة Beta من تحديث iOS 11.3 لا تتأثر أيضاً بمشكلة المحرف الهندي.

الجدير بالذكر أن هذا الخطأ الجديد لم يكن المرة الأولى التي ينهار فيها نظام iOS نتيجة إرسال محرف معين أو عنوان URL أو حتى فيديو، ففي الشهر الماضي تسبب أحد الروابط المرسلة بتجميد هاتف آيفون وتوقفه عن الاستجابة، لكن الشركة استطاعت حل المشكلة من خلال إرسال تحديث iOS 11.2.5، أما في عام 2016 قفد تسبب مقطع فيديو مدته 5 ثواني بانهيار الهاتف، وقبل عام في 2015 تسببت سلسلة محارف بإيقاف تطبيق الرسائل iMessage.

وتواجه الشركة مجموعة من القضايا الأمنية والثغرات البرمجية في الوقت الذي تحاول فيه التركيز على الوثوقية والأداء في نظام iOS 12 أكثر من التركيز على تقديم ميزات جديدة، حيث تقول بعض التقارير أن الشركة ستتبع نهجاً جديداً في إرسال التحديثات يسمح لمهندسي الشركة بإرسال الميزات في تحديثات متلاحقة بدلاً من تجميعها وإرسالها دفعة واحدة في التحديث السنوي الكبير للنظام.

 

مقالات قد تعجبك:
مايكروسوف تصدر التحديث الأمني الثاني للتعامل مع ثغرة Spectre
ثغرة أمنية في برنامج بصمات الأصابع لأجهزة Lenovo
ثغرة برمجية تسبب تجمّد هواتف آيفون ما الحل ؟
موقع LinkedIn تجاهل باحث فلسطيني قد اكتشف ثغرة في الموقع
إصلاح HomePod من آبل سيكلّف كشراء واحد جديد تقريباً