الشقاوي
07-12-2009, 03:33 AM
ثغرة خطيرة في فلاش…هذه المرة لايوجد حل
Posted: 20 Nov 2009 06:39 AM PST
https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/0/pi (https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/0/pa)
https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/1/pi (https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/1/pa)
http://www.arbdownload.com/uploads/posts/2009-11/1258720723_flashicon.png (http://www.arbdownload.com/uploads/posts/2009-11/1258720723_flashicon.png)
كشف باحث أمني عن وجود ثغرة في تقنية فلاش تعرض مستخدمي للعديد من المخاطر الكبيرة، حيث تصل نسبة المستخدمين المعرضين لهذه المشكلة إلى حوالي 99% من مستخدمي الإنترنت،
والأدهى من ذلك هو أن أدوبي تقول أنه لايوجد حل لهذه المشكلة وأن الحل يجب أن يكون من جانب المطورين ومدراء الأنظمة.
المشكلة موجودة في الأكشن سكربت والذي يستطيع تنفيذ شفرته بشكل مباشرة على جهاز المستخدم وحتى على النطاق الذي يتم تشغيل ملف الفلاش منه،
وهذا يعني أن المخترق في حال تمكن من رفع ملف فلاش يحتوي على شفرة ضارة فإنه قد يستطيع التلاعب بالمزود الذي يعمل منه نظرا لأن الفلاش سيقوم بتنفيذ هذه الشفرة بمجرد تحميل ملف الفلاش من نوع swf.
بالطبع قد يمنع بعض مدراء المواقع رفع ملفات الفلاش، لكن بالإمكان التلاعب بملفات swf وتحويلها إلى ملفات بإمتداد jpg
مما يعني أن المزود سيتعامل معها على أساس أنها صور ويقبل تحميلها وحين يقوم المستخدم بتحميل الصورة فإن الصورة التي هي في الأصل ملف فلاش swf سينفذ تلقائيا الشفرة،
والشفرة الضارة ليس بالضرورة أن تقوم بمهاجمة النطاق او الموقع فقط بل أنت كمستخدم معرض لمخاطر هذه الثغرة.
حين تم إبلاغ أدوبي اوضحت الشركة أنه من الصعب تطبيق إعدادات آمان جديدة على الفلاش دون التسبب في العديد من المشاكل، ولهذا لجئت الشركة إلى تنبيه مدراء الأنظمة والمطورين حول كيفية التعامل مع هذه المشكلة والثغرة الخطيرة حيث لايبدو أن أدوبي ستقوم بتحديث الفلاش في وقت قريب.
تحديث 1: نسيت أن أخبركم أن من المفضل تركيب إضافات مثل لفايرفوكس (http://www.noscript.net/)وToggle Flash (http://flash.melameth.com/) لإنترنت إكسبلورر من أجل إضافة طبقة حماية إضافية
في حالة تعاملتم مع مواقع لاتقوم بالتحقق من الملفات التي تقوم برفعها ولاتقوموا بالموافقة على تشغيل سكربتات برمجية إلا من موقع تثقون بها.
Posted: 20 Nov 2009 06:39 AM PST
https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/0/pi (https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/0/pa)
https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/1/pi (https://feedads.g.doubleclick.net/%7Ea/yTgba00U1cfPGVP50NjlFfaAYFM/jt7lVSb8jd6_PL4gSWJqp_Vxxcc/1/pa)
http://www.arbdownload.com/uploads/posts/2009-11/1258720723_flashicon.png (http://www.arbdownload.com/uploads/posts/2009-11/1258720723_flashicon.png)
كشف باحث أمني عن وجود ثغرة في تقنية فلاش تعرض مستخدمي للعديد من المخاطر الكبيرة، حيث تصل نسبة المستخدمين المعرضين لهذه المشكلة إلى حوالي 99% من مستخدمي الإنترنت،
والأدهى من ذلك هو أن أدوبي تقول أنه لايوجد حل لهذه المشكلة وأن الحل يجب أن يكون من جانب المطورين ومدراء الأنظمة.
المشكلة موجودة في الأكشن سكربت والذي يستطيع تنفيذ شفرته بشكل مباشرة على جهاز المستخدم وحتى على النطاق الذي يتم تشغيل ملف الفلاش منه،
وهذا يعني أن المخترق في حال تمكن من رفع ملف فلاش يحتوي على شفرة ضارة فإنه قد يستطيع التلاعب بالمزود الذي يعمل منه نظرا لأن الفلاش سيقوم بتنفيذ هذه الشفرة بمجرد تحميل ملف الفلاش من نوع swf.
بالطبع قد يمنع بعض مدراء المواقع رفع ملفات الفلاش، لكن بالإمكان التلاعب بملفات swf وتحويلها إلى ملفات بإمتداد jpg
مما يعني أن المزود سيتعامل معها على أساس أنها صور ويقبل تحميلها وحين يقوم المستخدم بتحميل الصورة فإن الصورة التي هي في الأصل ملف فلاش swf سينفذ تلقائيا الشفرة،
والشفرة الضارة ليس بالضرورة أن تقوم بمهاجمة النطاق او الموقع فقط بل أنت كمستخدم معرض لمخاطر هذه الثغرة.
حين تم إبلاغ أدوبي اوضحت الشركة أنه من الصعب تطبيق إعدادات آمان جديدة على الفلاش دون التسبب في العديد من المشاكل، ولهذا لجئت الشركة إلى تنبيه مدراء الأنظمة والمطورين حول كيفية التعامل مع هذه المشكلة والثغرة الخطيرة حيث لايبدو أن أدوبي ستقوم بتحديث الفلاش في وقت قريب.
تحديث 1: نسيت أن أخبركم أن من المفضل تركيب إضافات مثل لفايرفوكس (http://www.noscript.net/)وToggle Flash (http://flash.melameth.com/) لإنترنت إكسبلورر من أجل إضافة طبقة حماية إضافية
في حالة تعاملتم مع مواقع لاتقوم بالتحقق من الملفات التي تقوم برفعها ولاتقوموا بالموافقة على تشغيل سكربتات برمجية إلا من موقع تثقون بها.