برترین ها

آسیب پذیری روز صفر Archives - برترین ها

--
  • تاریخ : ۶ام شهریور ۱۳۹۷
  • موضوع : دسته‌بندی نشده
  • بازدید : 12 views

مایکروسافت سریعا به افشای اطلاعات یک آسیب پذیری در ALPC سیستم عامل ویندوز واکنش نشان داده است.

روز گذشته یکی از کاربران توییتر با نام کاربری SandboxEscaper از وجود باگی در ویندوز خبر داده و لینک مربوط به اسناد اثبات آن در گیت هاب را نیز به اشتراک گذاشته بود.

پس از انتشار این گزارش «ویل دورمان»، از تحلیلگران آسیب پذیری در «مرکز هماهنگی واکنش به رویدادهای رایانه‌ ای» نیز وجود یک حفره امنیتی از نوع روز صفر را تایید کرد. حفره روز صفر به معنی وجود آسیب پذیری های ناشناخته و مهم در سیستم ها است که اغلب توسط هکرها مورد سو استفاده قرار می گیرند.باگ ویندوز

این باگ ویندوز شامل نقص امنیتی افزایش سطح دسترسی محلی در جدول زمان بندی وظایف ویندوز است که از خطاهایی در سیستم های فراخوانی پروسه محلی پیشرفته (ALPC) ناشی می شود.

حفره امنیتی روز صفر به کاربران محلی اجازه دسترسی مجوزهای سیستمی را می دهد اما چون ALPC سامانه ای محلی است تاثیر آن محدود می ماند. با این حال انتشار عمومی این آسیب پذیری پیش از رفع آن توسط مایکروسافت دردسر های زیادی را به دنبال خواهد داشت.

«سیستم امتیازدهی آسیب پذیری عام» یا CVSS که استاندارد آزاد ارزیابی و تعیین شدت آسیب پذیری های کامپیوتری به شمار می رود، امتیاز ۶.۴ از ۱۰ را برای این حفره امنیتی در نظر گرفته است.

همزمان با حذف توییت نه چندان محترمانه SandboxEscaper، کمپانی ردموندی نیز با تایید وجود این آسیب پذیری تاکید کرده که در اولین فرصت ممکن سیستم های تحت تاثیر قرار گرفته را به روزرسانی خواهد کرد.

بر اساس جدول زمانبندی قبلی وصله های امنیتی ویندوز در بیستم ماه جاری منتشر خواهند شد، اما با توجه به اهمیت این حفره امنیتی ممکن است پچ اصلاحی آن زودتر از ره برسد.

 

تماشا کنید: ظاهر جدید ویندوز ۱۰ با زبان طراحی «فلوئنت دیزاین»

The post افشای باگ جدید ویندوز در توییتر appeared first on دیجیاتو.

  • تاریخ : ۲۴ام بهمن ۱۳۹۶
  • موضوع : دسته‌بندی نشده
  • بازدید : 45 views

بلومبرگ امروز گزارشی را به نقل از کسپرسکی منتشر کرد که نشان می دهد هکرها با بهره گیری از نوعی آسیب پذیر در نسخه دسکتاپی اپ پیام رسان تلگرام اقدام به استخراج پول هایی نظیر مونرو و ZCash از آن کرده اند.

جالب است بدانید که تلگرام از جمله هاب های پیام رسان محبوب نزد اعضای جامعه ارزهای رمزپایه به شمار می رود.

کسپرسکی در وبسایت خود مدعی شده که کاربران هدف ظاهرا به دانلود نوعی نرم افزار مخرب روی کامپیوترهای خود ترغیب می شوند و در ادامه از توان پردازشی سیستم آنها به منظور استخراج ارزهای رمزپایه استفاده می گردد یا اینکه این کامپیوترها نقش نوعی درب پشتی را برای کنترل از راه دور سیستم توسط هکرها ایفا می نمایند.

کارشناسان این شرکت امنیتی همچنین ضمن تحلیل سرورهای مربوط به دست اندرکاران این حمله به آرشیوهایی حاوی کش دیتای تلگرام دست پیدا کردند که از قربانیان به سرقت رفته بود.

این کمپانی روس در گزارش خود آورده است که همزمان با انتشار این خبر موضوع را به تلگرام اطلاع داده و از آن زمان تاکنون این آسیب پذیری روز صفر در محصولات پیام رسان مذکور مشاهده نشده است.

پاول دوروف همواره از این پلتفرم تحت عنوان ابزار پیام رسان به شدت امنیتی یاد کرده

اما همانطور که اطلاع دارید پاول دوروف موسس تلگرام همواره از این پلتفرم تحت عنوان ابزار پیام رسان به شدت امنیتی یاد کرده و مدعی شده که ترافیک دیتای آن رمزگذاری شده بود و به سختی برای اشخاص ثالث قابل دسترسی است. همین ادعا نیز موجب محبوبیت بالای تلگرام در میان کاربران دل نگران از جمله امانوئل مکرون رئیس جمهور فرانسه و تروریست های داعشی شد.

دوروف اما در واکنش به این خبر در کانال رسمی اش نوشت:

درست مانند همیشه بهتر است که گزارشات شرکت های توسعه دهنده آنتی ویروس اندکی با دیده تردید نگریسته شود چراکه این شرکت ها معمولا در مورد شدت یافته هایشان اغراق می کنند تا از این طریق مورد توجه رسانه ها قرار بگیرند.

در همین راستا Telegram Geeks (انجمن هواداران تلگرام) نیز توضیحات خوبی را ارائه کرده:

این یک آسیب پذیری واقعی در نسخه دسکتاپی تلگرام نیست و در صورتی که هیچ فایل مخربی را باز نکنید هیچکسی از راه دور نمی تواند کنترل کامپیوتر یا تلگرام شما را در دست بگیرد.
این آسیب پذیری بر اساس مهندسی معکوس توسعه یافته است. در واقع مقصر فایلی با فرمت .js است که درون یک فایل png پنهان شده. لذا کاربران ویندوز باید روی دستور Run کلیک کنند تا فایل مخرب را نصب نمایند. پس نگران نباشید زیرا تازمانی که فایل مخرب را باز نکنید در امنیت کامل هستید.

The post کسپرسکی از کشف آسیب پذیری در تلگرام و استخراج ارزهای مجازی با آن خبر داد appeared first on دیجیاتو.