وسم التدوينة patch

Google تصدر ترقيعا لخمس ثغرات في متصفح Chrome إحداها حرجة وتوزع 6133,7$ على مكتشفيها

الكاتب djug | في Google | بتاريخ: 24 يناير 2012 تعليق واحد

كشفت Google يوم أمس عن محتوى التحديث الجديد لمتصفح Chrome الذي يحمل الرقم 16.0.912.77 والذي على غير العادة يرقع ثغرات أمنية إحداها وصفت بالحرجة، فيما وزعت جوائز مالية على مكتشفيها.

جوجل تصدر ترقيعا جديدا لمتصفح كروم

تم اكتشاف وترقيع الثغرة التي وُصفت بالحرجة والتي حصل مكتشفها على المكافئة الكاملة 3133.7 $ في الإصدار السابق من المتصفح، إلا أنه لم يتم الإعلان عنها حينها. ويتسبب استغلال الثغرة في انهيار المتصفح لدى محاولة فتح رابط ملغم.  أما الثغرات الأربعة الباقية فوصفت بعالية الخطورة.

أما عن سبب “إغفال” الإعلان عن الثغرة في التحديث السابق، فتشير بعض المواقع أنه من المحتمل أن استغلال الثغرة يمكِّن من تجاوز حماية Sandbox التي يمتاز بها متصفح Chrome مما يعني إمكانية التحكم في جهاز الضحية عن بعد من خلالها.

يملك Chrome خاصية التحديث التلقائي ومن المرجح أنك تستعمل حاليا أحدث إصدار منه (طبعا إن كنت تستعمل هذا المتصفح). كما يمكن تحديث المتصفح بشكل يدوي أيضا.

وسوم: , ,

Linux يحظى بترقيع معجزة يسرع تعددية المهام

الكاتب 01walid | في Unix/Linux | بتاريخ: 18 نوفمبر 2010 13 تعليق

Linux يحظى بترقيع معجزة يسرع تعددية المهام

في عالم البرمجيات وخاصة منها أنظمة التشغيل، يندر وجود حلول خارقة للعادة، تغير من الأمور جذريا، فالمعهود هو التحسين من البرمجية شيئا فشيئا مع مرور الزمن،  لكن أن تأتي رقعة صغيرة لتقلب الأمور والموازين ، وتقفز بها إلى الأحسن، هذا ما يسميه الكثيرون “معجزة”، وبالضبط هذا ما حدث مؤخرا مع نواة Linux في رقعة جد مبشرة لهذا النظام جاءت من طرف ثالث!.

نجحت هذه الرقعة في اختزال جوهري لضغط النظام في الوضع الرسومي دون تعلق الوضع الكتابي، وكذا في إثبات وجودها لدى Linus Trovalds، لأن مثل هذه الترقيعات تُقترح بانتظام عليه لكن يعيبها الكثير فيتم رفضها، لكن هذه الأخيرة حظيت بمباركة الأب الروحي  وصنف حالتها  ضمن “الميزة القاتلة” أو killer feature.

فقط 224 سطر برمجي، هو ما كان يحتاجه المطور Mike Galbraith ليحصل على نتائج مذهلة مع مجدول المهام scheduler، وهو المكون الذي يلعب دورا في تقسيم المهام بين أنوية المعالجات الحديثة  حسب أولوية كل عملية.

والغالب على أنشطة المستخدم في أيامنا هو تعدد المهام والعمل على عدة نوافذ، أين تصبح كفاءة الحاسوب تلعب دورا حيويا في سرعة الإنتاجية، وهنا تأتي هذه الرقعة لتدلي بدلوها في هذه اللعبة، والنتائج فوق التوقعات.

وهنا فيديو يوضح أداء حاسوب مع نواة عادية في وقت تصريف برنامج  compilation:

إقرأ المزيد

وسوم: , , ,

Adobe تنشر ترقيعات لـ 23 ثغرة على كل من Reader و Acrobat

الكاتب djug | في Security | بتاريخ: 06 أكتوبر 2010 لا يوجد تعليقات

Adobe تنشر ترقيعات لـ 23 ثغرة على كل من Reader و Acrobat

نشرت Adobe أمس جملة من الترقيعات تخص 23 ثغرة على منتجيها Reader و Acrobat ، مسجلة رقما قياسيا فيما يخص عدد الثغرات المرقعة دفعة واحدة خلال 2010.

الثغرات المرقعة تخص الإصدار 9.3.4 لتطبيقي Reader و Acrobat على كل من Windows، Mac  إضافة إلى نفس الإصدار من تطبيق Reader على أنظمة Unix.

تأتي هذه الترقيعات خارج برنامج الترقيع الدوري لـ Adobe كون إحدى الثغرات المعنية بالأمر (و التي تم الإعلان عنها مطلع شهر سبتمبر الماضي) شهدت استغلال واسعا و لقد صُنفت على أنها ثغرة خطيرة جدا.

هذه الثغرة تسمح بتنفيذ كود معين و التي يمكن تستغل فيض في المكدس buffer overflow و ذلك لدى فتح ملف PDF معد خصيصا لاستغلال الثغرة.

كما تكمن خطورة الثغرة في مقدرتها تجاوز حمايتي ASLR ( Address Space Layout Randomization) و DEP (Data Execution Prevention) الخاصتين بـ Vista و Windows7.

تحميل الإصدار 9.4 من Adobe Reader

وسوم: , , , , , , , ,

Microsoft تنشر ترقيعا مستعجلا لثغرة في الـ ASP.Net تمكن من سرقة البيانات

الكاتب djug | في Microsoft | بتاريخ: 30 سبتمبر 2010 لا يوجد تعليقات

Microsoft تنشر ترقيعا مستعجلا لثغرة في الـ ASP.Net تمكن من سرقة البيانات

قامت Microsoft بنشر ترقيع أمني لثغرة تم اكتشافها الأسبوع الماضي تتعلق بالـ ASP.net و التي تسمح بالحصول على صلاحيات المدير و سرقة بيانات المستخدمين و.

تم الإعلان عن الثغرة في الـ 17 من سبتمبر على يد باحثين خلال مؤتمر أمني انعقد في الأرجنتين، و قد استغرقت Microsoft أكثر من 10 أيام لترقيع الثغرة، و على غير عادتها فإن الترقيع غير متوفر مباشرة من خلال Windows Update و إنما تطلب Microsoft من زبائنها تحميل الترقيع و تنصيبه يدويا.

ليست هذه المرة الأولى التي تنشر فيها Microsoft ترقيعا خارج إطار الـ Patch Tuesday الذي تطلقه في الثلاثاء الثاني من كل شهر ، فقد سبق لها إصدار ترقيعات مستعجلة 3 مرات خلال هذا العام. و سيطل علينا  الـ Patch Tuesday القادم في الـ 12 من أكتوبر.

وسوم: , , , ,

Microsoft ستنشر Patch Tuesday ضخما يوم غد

الكاتب djug | في Microsoft | بتاريخ: 09 أغسطس 2010 لا يوجد تعليقات

Microsoft ستنشر Patch Tuesday ضخما يوم غد

تقوم Microsoft كل شهر بإصدار جملة من الترقيعات في ثاني ثلاثاء من كل شهر تحت تسمية Patch Tuesday. ما يميز الـ Patch Tuesday  الخاص بشهر أغسطس الجاري كونه  يحطم كل الأرقام القياسية  السابقة، و هذا من حيث عدد الثغرات المعنية، حيث وصل هذا العدد إلى 34 ثغرة، ثمان منها وصفت بالحرجة.

يمكن القول أن الجميع معني بهذا الـ Patch Teusday ، حيث أنه يشمل ترقيعات لكل من Internet Explorer بإصداراته السادس، السابع و الثامن، حزمة Office بإصداراتها XP، 2003، 2007 على أنظمة Windows   و إصداريها 2004 و 2008 على أنظمة Mac، إلى جانب الإصدارين الثاني و الثالث من Silverlight.

أما فيما يخص أنظمة التشغيل فالكل -تقريبا- مدعو إلى حفلة الـ Patch Tuesday  ليوم غد ، حيث أننا نجد من بين الحضور كلا من  Windows XP SP3، Vista،Windows 7، Server 2003 و Windows Server 2008 .

أما الغائب الأكبر فسيكون من دون أدنى شك Windows XP SP2، ليس لكونه أصبح أكثر أمنا، و لكن بسبب انتهاء مدة صلاحيته، مما يعني أن آخر ترقيعات أصدرتها Microsoft لهذا النظام هي الترقيعات المضمنة في الـ Patch Teusday الخاص بشهر يوليو الماضي. و بالتالي فمستخدمو SP2 مدعوون هم أيضا … ليس لحفلة ما و إنما للترقية إلى SP3.

لمزيد من التفاصيل حول الثغرات و النشرات الأمنية  الخاصة بهذا الـ Patch Tuesday زورا هذه الصفحة

وسوم: , , , ,

Microsoft تطرح الترقيع الأمني لثغرة ملفات الاختصار وملايين المستخدمين يتنفسون الصعداء

الكاتب Xacker | في Microsoft | بتاريخ: 03 أغسطس 2010 لا يوجد تعليقات

Microsoft تطرح الترقيع الأمني لثغرة ملفات الاختصار وملايين المستخدمين يتنفسون الصعداء

قامت Microsoft البارحة بإطلاق الترقيع الأمني الذي يحمل الرقم MS10-046 الخاص بثغرة ملفات الاختصار Windows .LNK files 0-day vulnerability والتي تصيب جميع نسخ نظام Windows.

يقوم الترقيع الأمني بإصلاح المشكلة من خلال تصحيح إجرائية التدقيق على مراجع أيقونات ملفات الاختصار.

ينصح جميع مستخدمي نظام Windows بتثبيت الترقيع الأمني مباشرة وذلك بزيارة موقع Microsoft Windows Update أو من خلال تحميل وتثبيت الترقيع عبر Windows Update الموجود ضمن النظام.

لقراءة المزيد من المعلومات حول الثغرة والترقيع الأمني يمكن مراجعة الرابط التالي.

وسوم: , , , ,

Microsoft ستطلق ترقيعاً أمنياً لإصلاح ثغرة ملفات الاختصار اليوم

الكاتب Xacker | في Microsoft | بتاريخ: 02 أغسطس 2010 لا يوجد تعليقات

Microsoft ستطلق ترقيعاً أمنياً لإصلاح ثغرة ملفات الاختصار اليوم

أجبرت Microsoft على الخروج من حلقة الترقيعات الأمنية الدورية لها لتقوم بإصلاح المشكلة الأمنية التي تم كشفها مؤخراً والتي تجعل جميع أنظمة Windows عرضة للهجوم.

ستقوم Microsoft اليوم بطرح ترقيع أمني عاجل لإصلاح الخطأ القاتل في نظام Windows والذي يعطي القراصنة إمكانية التحكم والوصول إليه عن بعد.

الثغرة التي أصابت جميع أنظمة Windows، تعتمد على الطريقة التي يعالج بها النظام أيقونات ملفات الاختصار .lnk مشكلة باباً خفياً للقراصنة لإنشاء ملفات اختصار ملغمة للسيطرة على النظام والجهاز كاملاً.

لم تكن Microsoft قد خططت للتعجيل بإطلاق هذا الترقيع الأمني العاجل لكن نظراً لأن العديد من الهجمات التي استغلت هذه الثغرة تم تسجيلها مؤخراً في الكثير من أنحاء العالم، اضطر عملاق البرمجيات إلى كسر الروتين والعمل على إنهاء الترقيع الأمني لطرحه اليوم في حوالي الساعة 7 مساءً بتوقيت غرينتش.

ننصح جميع مستخدمي نظام Windows من قراءنا الأعزاء بتحميل الترقيع الأمني وتثبيته فور صدوره.

لقراءة المزيد من المعلومات حول الخبر يمكن مراجعة الرابط.

وسوم: , , , ,

الإعلان عن ثغرة أمينة خطيرة في vBulletin v3.8.6

الكاتب Xacker | في Security | بتاريخ: 24 يوليو 2010 تعليق واحد

الإعلان عن ثغرة أمينة خطيرة في vBulletin v3.8.6

تم الإعلان عن ثغرة أمنية خطيرة في إحدى أكثر أنظمة  المنتديات انتشاراً vBulletin v3.8.6، والتي تسمح للمهاجمين بالوصول إلى أي خادم  MySQL يقوم بتشغيل المنتدى.

الثغرة تكمن في آلية البحث الموجودة في ملف FAQ.php والتي تقوم بإعادة نتائج البحث بعد المرور على ملف vbulletin-language.xml أثناء عملها، والذي بدوره يحوي على الكود التالي

<![CDATA[Database Name: {$vbulletin->config['Database']['dbname']}
 
Database Host: {$vbulletin->config['MasterServer']['servername']}
 
Database Port: {$vbulletin->config['MasterServer']['port']}
 
Database Username: {$vbulletin->config['MasterServer']['username']}
 
Database Password: {$vbulletin->config['MasterServer']['password']}]]>

وكما يظهر جلياً فإن البيانات هنا سيتم جلبها تلقائياً من ملف الإعدادات ووضعها داخل ملف اللغة الأمر الذي يؤدي من خلال استخدام كلمة البحث “database” في صفحة FAQ إلى إظهار هذه البيانات لأي شخص كان عضواً أو عابر سبيل!

أكدت vBulletin  وجود هذه الثغرة في الإصدار 3.8.6 من نظام المنتديات وقامت على الفور بطرح ترقيع أمني متوفر للتحميل، كما أنه تم ترقيع الحزمة الأصلية كاملة على خوادمهم لمن سيقوم بتحميلها لاحقاً حتى لا يضطر إلى إعادة تثبيت الترقيع أيضاً.

شخصياً أخذت بعض الوقت قبل الشروع بكتابة الخبر في استخدام محرك البحث المفضل وعبارة “powered by vBulletin 3.8.6″ بحثاً عن منتديات بهذا الإصدار لتجربة الثغرة لكن جميع النتائج جاءت سلبية (على الأقل في بضع عشرات المنتديات التي جربتها).

الأمر الملحوظ أيضاً أن بعض مزودي خدمات الاستضافة مثل HostGator قاموا بإضافة mod_security rule تقوم بمنع الوصول إلى صفحة faq.php في في حال كانت كلمة البحث هي “database” وقاموا بتشغيل هذه الـ rule على جميع خوادمهم المشتركة shared hosting servers و reseller servers كإجراء وقائي ريثما يقوم معظم أصحاب المنتديات المستضافة لديهم بالتنبه وتثبيت الترقيع وهذا أمر جيد جداً منهم نأمل أن يحذو حذوه غيرهم من أصحاب هذه المزودات.

يمكن الإطلاع على تفاصيل أوفى حول الترقيع من هنا.

وسوم: , ,

Oracle تصدر ترقيعات لـ 59 ثغرة في منتجاتها

الكاتب Xacker | في Security | بتاريخ: 15 يوليو 2010 لا يوجد تعليقات

Oracle تصدر ترقيعات لـ 59 ثغرة في منتجاتها

خرجت Oracle بأكبر حزمة من الترقيعات الأمنية الثالثة لها لعام 2010 التي تشمل على تصحيحات في كل من قواعد البيانات، نظام التشغيل و برامجها الوسيطة.

تشمل هذه الحزمة على تصحيحات لـ 59 ثغرة، بينما شملت الحزمة السابقة على تصحيحات لـ 47 مشكلة أمنية وكانت تلك أول حزمة تقوم فيها بطرح تصحيحات أمنية لبرمجيات المالك السابق Sun بما في ذلك نظام تشغيل Solaris.

تشمل حزمة تموز/يوليو 2010 على 21 تصحيح خاص بمنتجات Sun، 7 منها تملك أكثر نسبة خطورة بكونه من الممكن استغلالها عن بعد من دون الحاجة إلى المصادقة authentication. أيضاً، بين العديد من الثغرات العالية الخطورة المكتشفة والمعلن عنها في الـ CPU (Critical Patch Update كما تسميه Oracle) مجموعة من الثغرات في OpenSSO, منتج من منتجات Sun خاص بتقنية Single sign-on والذي بدأ كمشروع مفتوح المصدر، والذي ينافسه الآن إصدار يديره ويشرف عليه المسئولون السابقون لـ Sun J

من الواضح أنه يتم إصلاح الكثير من المشاكل الأمنية في تطبيقات Sun، الأمر الذي يدفعني للتساؤل عما كانت Sun تفعله لما كانت هذه التطبيقات ما تزال تحت جناحها، وهل يمكن القول بأن المشاريع المفتوحة المصدر لا تلقى الاهتمام الكافي من هذه الناحية كالمشاريع التجارية الجشعة ؟

ما رأيك عزيزي القارئ.

يمكن الاستزادة حول الموضوع من هنا، أو قراءة تدوينة Oracle التي تعلن فيها عن الترقيعات من هنا

وسوم: , , ,

Microsoft تنشر الترقيع الذي يعوض الترقيع غير الفعال الخاص بـ Windows 2000 في الـ Patch Tuesday الماضي

الكاتب djug | في Microsoft | بتاريخ: 28 أبريل 2010 لا يوجد تعليقات

Microsoft تنشر الترقيع الذي يعوض الترقيع غير الفعال الخاص بـ Windows 2000 في الـ Patch Tuesday الماضي

بعد أن قامت بسحب ترقيع تم تضمينه في الـ Patch Tuesday  لشهر أبريل الحالي، و ذلك لعدم فاعليته، قامت Microsoft بنشر ترقيع جديد ليعوض الترقيع المسحوب و الموجه لأنظمة Windows 2000 فقط.

يأتي الترقيع الجديد “الفعال” ليصحح علة في النظام و التي تسبب فيضا في المكدس stack overflow في Windows Media Services و الذي لا يكون منصبا بصورة قياسية على أنظمة Windows 2000، مما يعني أن هذا الترقيع يخص فئة محدودة جدا من مستخدمي أنظمة Windows.

تجدر الإشارة إلى أنه لا يجب حذف الترقيع السابق لتطبيق الحالي لعدم فاعلية الأول.

ينصح مدراء الأنظمة بالإطلاع على تفاصيل الترقيع من هنا لضمان حماية أكبر لأنظمتهم.

وسوم: , ,
12»