وسم التدوينة Safari

Secunia تحذر من ثغرة Zero day جديدة على نظام windows7 يتم استغلالها عبر متصفح Safari

الكاتب djug | في Microsoft | بتاريخ: 22 ديسمبر 2011 لا يوجد تعليقات

نشرت Secunia المتخصصة في الأمن والحماية تحذيرا من ثغرة Zero Day جديدة تستهدف الإصدار 64-bit من نظام Windows 7 والتي يتم استغلالها عبر متصفح Safari.

يتم استغلال الثغرة التي تعتمد على علة في ملف win32k.sys باستخدام متصفح Safari لاستعراض صفحة ويب تحتوي على iFrame يكون طوله كبيرا جدا (إعطاء قيمة كبيرة لخاصية height) مما يسبب خللا في ذاكرة النظام (Memory corruption) وهو ما يؤدي إلى ظهور شاشة الموت الزرقاء (التي يُطلق عليها اختصارا BSoD).

وتحذر Secunia من إمكانية استغلال هذه الثغرة لتنفيذ رماز ضار بصلاحيات عالية جدا (kernel-mode privileges)، كما أنها لا تنفي أن تكون إصدارات أخرى من النظام معنية بالثغرة.

يُنصح بالابتعاد عن استخدام متصفح Safari خاصة على الإصدار 64-bit من نظام Windows 7 إلى غاية صدور ترقيعات لسد هذه الثغرة.

الفيديو التالية توضح كيف يتم استغلال الثغرة لإظهار شاشة الموت الزرقاء:

إقرأ المزيد

وسوم: iframe, Safari, vulnerability, Windows, Windows 7

مسابقة Pwn2Own : متصفح Safari يسقط خلال 5 ثواني، Chrome يصمد و Firefox يسخن للدخول إلى الحلبة

الكاتب djug | في Security | بتاريخ: 10 مارس 2011 5 تعليق

مسابقة Pwn2Own : متصفح Safari يسقط خلال 5 ثواني، Chrome يصمد و Firefox يسخن للدخول إلى الحلبة

5 ثواني فقط، هي المدة التي احتاجها فريق VUPEN الفرنسي ليطيح برأس Safari و يفوز بجائزة 15 ألف دولار و بجهاز MacBook Air الذي اخترقوه. و يتعلق الأمر بالإصدار 5.0.3 من المتصفح.

و لم يحتج فريق VUPEN سوى إلى أن يفتح المتصفح صفحة ملغمة معدة خصيصا للحدث و التي تجعله يفتح الآلة الحاسبة التي تقوم بدورها بكتابة ملف على القرص الصلب و من ثم تنفيذ الاستغلال، كل هذا من دون أن يحدث أي انهيار للمتصفح.

و لم يلبث أن سقط Internet Explorer 8 بعده على يد Stephen Fewer العامل لدى Harmony Security و الذي استطاع بفضل استغلاله لثلاث ثغرات أن يتحكم عن بعد في المتصفح ثم في نظام Windows 7 SP1 64 bits الذي يستضيفه. لكن بالرغم المدة القصيرة التي استغرقها Fewer للقيام بذلك، إلا أن ذلك كلفه 6 أسابيع من التحضير.

و لقد سارعت Micrsosoft للإعلان أنها بدأت فعليا في التحقيق في الثغرة المستغلة خلال مسابقة Pwn2Ownو العمل على توفير ترقيع لها

أما البطل للسنة الثانية على التوالي فهو من دون شك متصفح Chrome الذي لم يسجل في مسابقة اختراقه سوى باحث أمني واحد و الذي فضل عدم تجربة حظه (ربما لأنه يعرف أن النتيجة محسومة سلفا).

و يشهد اليوم دخول متصفح Firefox حلبة المسابقة إلى جانب أنظمة تشغيل الهواتف الذكية iOS، Windows Phone 7 ، Android و BlackBerry.

تجدر الإشارة إلى أنه لا يتم استخدام أحدث إصدارات المتصفحات مثلما صرح به Peter Vreugdenhil العامل لدى TippingPoint ، و إنما تم تحديد الإصدارات المشاركة منذ أسبوعين و ذلك لتمكين المشاركين من تحضير استغلالات ثغراتهم بشكل أفضل.

وسوم: chrome, internet explorer, Pwn2Own, Safari

دراسة تكشف أن خاصية التصفح الخاص لا تحمي كامل بيانات المستخدم

الكاتب djug | في Security | بتاريخ: 10 أغسطس 2010 لا يوجد تعليقات

دراسة تكشف أن خاصية التصفح الخاص لا تحمي كامل بيانات المستخدم

نشر باحثون أمنيون من جامعة Stanford دراسة تهتم بوضع “التصفح الخاص” الذي أصبحت متوفرة على الإصدارات الحديثة من المتصفحات و التي تتيح للمستخدم –على الأقل نظريا- تصفحا بدون ترك أية آثار وراءه و بدون تعريض بياناته الشخصية للخطر.

الدراسة التي خصت أحدث الإصدارات من كلم من Chrome، Safari، Internet Explorer و Firefox بينت كيف يمكن للوضع الخاص بهذه المتصفحات أن لا يكون “خاصا” تماما، حيث أثبتت وجود بعض التسربات هنا و هناك.

فعلى سبيل المثال لا يقوم Safari بإخفاء الـ cookies لدى استعمال خاصية التصفح الخاص، كما لا يقوم أيضا متصفح Apple و Firefox بتعطيل الإضافات مما يتيح لها الوصول إلى البيانات التي يود المستخدم حمايتها.

أما Internet Explorer و بالرغم من توفيره إمكانية تعديل الإضافات لدى استخدام التصفح الخاص، إلا أن ذلك لا يعطل عمل الـ ActiveX.

و لم يسلم من هذه الانتقادات سوى Chrome و الذي يتيح لمستخدميه وضعا خاصا إلى حد ما حيث يمكِّن من تعطيل الإضافات لدى التصفح الآمن.

و في المقابل يطمئن الباحثون الأمنيون مستخدمي هذه المتصفحات، كون استغلال البيانات المتسربة من وضع التصفح الخاص ليس بالأمر الهين، كما يتطلب ذلك استعمال الجهاز مباشرة و ليس عن طريق التحكم به عن بعد.

لمن أراد تفاصيل أوفى حول هذه الدراسة فإنها متوفرة للتحميل من هنا، و سيتم استعراض هذه النتائج خلال مؤتمر Usenix Security الذي ستدوم فعالياته 3 أيام ابتداءً من يوم غد.

وسوم: chrome, Firefox, inPrivate, internet explorer, navigators, private navigation, Safari, Security

التحذير من ثغرة تخص ملفات PDF على هواتف الـ iPhone و على الـ iPad

الكاتب djug | في Apple | بتاريخ: 04 أغسطس 2010 لا يوجد تعليقات

التحذير من ثغرة تخص ملفات PDF على هواتف الـ iPhone و على الـ iPad

حذرت شركات أمنية مستعملي هواتف iPhone و الأجهزة اللوحية iPad من ثغرة أمنية تم اكتشافها مؤخرا تخص استظهار ملفات PDF عبر المتصفح Safari.

حسبما أشارت إليه وكالة Reuters للأنباء التي نقلت التحذيرات التي نشرتها كل من Symantec ، Lookout و Vupen فإن الثغرة التي يمكن استغلالها عبر فتح ملف PDF ملغم عبر المتصفح Safari من شأنها أن تضع الجهاز تحت رحمة المخترقين، الذين يصبح بإمكانهم التحكم عن بعد بالجهاز كاملا.

و لتجنب أية مشاكل يفضل تجنب فتح ملفات PDF غير معروفة المصدر عبر المتصفح إلى غاية توفير Apple لترقيع أمني لها.

تجدر الإشارة إلى أن موقع JailbreakMe -الذي سبق و أن أشرنا له- و الذي يتيح عمل Jailbreak لكل أجهزة iPhone بمجرد الدخول تصفح الموقع و بدون تنصيب أية برامج يعتمد بالأساس على هذه الثغرة و التي تتيح له التحكم في الجهاز عن بعد لإتمام عملية كسر الحماية.

تعتبر هذه الثغرة بمثابة ضربة قوية لـ Apple و التي وفرت المزيد من الحماية في الجيل الرابع من نظام iOS. ما دفعها إلى فتح تحقيق رسمي في الثغرة تحضيرا لنشر ترقيع لها قريبا.

يمكن الإطلاع على الخبر الذي أوردته وكالة Reuters من هنا. أو الإطلاع على الوصف التقني للثغرة من هنا

وسوم: Apple, iOS, ipad, iPhone, PDF, Safari, vulnerability

الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

الكاتب Xacker | في Apple | بتاريخ: 25 يوليو 2010 لا يوجد تعليقات

الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

تم الإعلان عن وجود خلل أمني في التصميم في متصفح Safari للإصدارين 4.0 و 5.0 يسمح للمهاجم بالحصول على بيانات شخصية خاصة بالزائر مثل (الاسم، العنوان،البريد الالكتروني، …)

المشكلة الأمنية تظهر في حال قيام مستخدم ما بزيارة موقع خبيث، حتى لو لم يزره من قبل، ولم يدخل أي بيانات شخصية أيضاً، فيكون بمقدور الموقع كشف اسمه الكامل، مكان العمل، المدينة، الولاية (في حال كونه في الولايات المتحدة) بريده الالكتروني الشخصي!

يأتي متصفح Safari في الإصدارين 4.0 و 5.0 والذي يملك حوالي 4% من حصة السوق (أي تقريباً 83 مليون مستخدم)، بميزة على المسار (Preferences > AutoFill > AutoFill web forms) مفعّلة بشكل افتراضي.

هذه الميزة “AutoFill” تقوم بملء حقول الإدخال النصية في صفحات HTML والتي تحمل خصائص معينة مثل name, company, city, state, country, email, الخ.

إقرأ المزيد

وسوم: Apple, Safari, vulnerability

Chrome يتجاوز Safari للمرة الأولى في الولايات المتحدة

الكاتب djug | في Web | بتاريخ: 29 يونيو 2010 2 تعليق

Chrome يتجاوز Safari للمرة الأولى في الولايات المتحدة

أشارت الأرقام التي نشرتها StatCounter عن أن الرقم الثالث عالميا Chrome و بفضل نسبة 8.69% التي يحوز عليها في السوق الأمريكية تجاوز لأول مرة منافسه العنيد Safari في الولايات المتحدة و الذي حصل على نسبة 8.22% .

حسب هذه الأرقام فإن Chrome يؤكد مرة أخرى مكانته في سوق المتصفحات حيث يحتل المرتبة الثالثة عالميا منذ شهر سبتمبر 2009 و يأتي خلف كل من Internet Explorer و Firefox بحصة قدرت بـ 9.23% و بزيادة تقدر بـ 0.62% مقارنة بالشهر الفارط، و هو ما يجعل Google قاب قوسين أو أدنى من تحقيق هدف الوصول إلى 10% من سوق المتصفحات التي سطرته لنفسها و هذا في ظرف أقل من عامين من إطلاق المتصفح.

تجدر الإشارة إلى أن إحصائيات StatCounter تعتمد بالأساس على مدى تصفح 3.6 مليار صفحة على الإنترنت منها 900 مليون في الولايات المتحدة.

يمكن الإطلاع على تقرير StatCounter من هنا

وسوم: chrome, Safari, StatCounter

Apple تصدر ترقيعات أمنية لثغرات خطيرة في متصفحها Safari

الكاتب Xacker | في Apple | بتاريخ: 10 يونيو 2010 لا يوجد تعليقات

Apple تصدر ترقيعات أمنية لثغرات خطيرة في متصفحها Safari

بعد أقل من مرور 24 ساعة على صدور الإصدار 5.0 من المتصفح Safari، قامت Apple بنشر ترقيعات أمنية لـ 48 ثغرة في محرك WebKit الذي تستخدمه Apple في متصفحها، حيث وصفت الثغرات الخاصة بالإصدارين 4.1 و 5.0 بالخطيرة.

الترقيعات التي طرحت متوفرة للتحميل لنظامي Windows و Mac OS X. يُذكر أن استغلال بعض هذه الثغرات قد يمكّن من تنفيذ شفرات ضارة عن بعد remote code execution.

معظم هذه الثغرات الـ 48 وجدت في محرك WebKit المفتوح المصدر، والذي تستخدمه أيضاً Google في متصفحها Chrome والذي تم فيه أيضاً إصلاح العديد من الثغرات بالتوازي مع ما قامت به Apple.

لقراءة المزيد من التفاصيل حول الخبر يمكن مراجعة التدوينة الرسمية الأمنية الخاصة بالشركة عبر زيارة الرابط.

وسوم: Apple, Safari, Security, vulnerability, WebKit

Apple تطلق الإصدار الخامس من المتصفح Safari

الكاتب djug | في متصفحات | بتاريخ: 08 يونيو 2010 لا يوجد تعليقات

Apple تطلق الإصدار الخامس من المتصفح Safari

أطلقت Apple يوم أمس الإصدار الخامس من متصفحها Safari، و الذي يعتبر أسرع بحوالي 30% من الإصدار السابق، كما أنه يدعم الـ HTML5 بشكل أفضل.

الإصدار الجديد يأتي لتأكيد رغبة Apple دعم المعايير الجديدة على غرار الـ HTML5، حيث يدعم هذا الإصدار بعض الخاصائص الجديدة كالـ geolocation و عرض الفيديو بنمط الـ Fullscreen.

كما يفتح هذا الإصدار باب الإضافات، حيث أصبح من الممكن كتابة إضافات للمتصفح باستعمال كل من الـ HTML، CSS و الـ JavaScript، مثلما هو الحال مع متصفح Chrome. كما ستستعمل Apple تقنية مستعملة حاليا في الـ Chrome أيضا، حيث سيتم عزل هذه الإضافات داخل sandbox لضمان حماية أفضل للمستخدمين.

و للإطلاع على تفاصيل أكثر حول الإضافات الخاصة بـ Safari ما عليك سوى زيارة الصفحة التالية

Safari 5 متوفر للتحميل لكل من أنظمة Windows و Mac OS X من هنا

وسوم: Apple, Safari

وسم التدوينة Safari

Secunia تحذر من ثغرة Zero day جديدة على نظام windows7 يتم استغلالها عبر متصفح Safari

مسابقة Pwn2Own : متصفح Safari يسقط خلال 5 ثواني، Chrome يصمد و Firefox يسخن للدخول إلى الحلبة

دراسة تكشف أن خاصية التصفح الخاص لا تحمي كامل بيانات المستخدم

التحذير من ثغرة تخص ملفات PDF على هواتف الـ iPhone و على الـ iPad

الكشف عن ثغرة في متصفح Safari تعرض بيانات المستخدم للسرقة

Chrome يتجاوز Safari للمرة الأولى في الولايات المتحدة

Apple تصدر ترقيعات أمنية لثغرات خطيرة في متصفحها Safari

Apple تطلق الإصدار الخامس من المتصفح Safari

إعلانات

استفتاء

مدونة الإعلام الاجتماعي

مواقع و مدونات صديقة

تصنيفات

المجلة التقنية على الـ Facebook

اخر تويتات