من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل الØ
نقاط الضعف المكتشفة حديثًا في الطريقة التي يعالج بها نظام التشغيل Android ملفات الوسائط يمكن للمهاجمين من اختراق الأجهزة عن طريق خداع المستخدمين إلى زيارة صفحات الويب التي تم تصميمها بشكل ضار.
يمكن أن تؤدي الثغرات الأمنية إلى تنفيذ التعليمات البرمجية عن بُعد على جميع الأجهزة تقريبًا تشغيل الروبوت ، بدءا من الإصدار 1.0 من نظام التشغيل صدر في عام 2008 إلى أحدث 5.1.1 ، وقال باحثون من شركة الأمن المتنقلة Zimperium في تقرير من المقرر نشرها الخميس.
العيوب في الطريقة الروبوت بمعالجة البيانات الوصفية لل ملفات MP3 الصوتية وملفات الفيديو MP4 ، ويمكن استغلالها عندما يقوم نظام Android أو أي تطبيق آخر يعتمد على مكتبات وسائط Android بمعاينة هذه الملفات.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]The وجد باحثو Zimperium عيوب معالجة متعددة الوسائط مشابهة في وقت سابق من هذا العام في مكتبة أندرويد تسمى Stagefright التي كان يمكن استغلالها ببساطة عن طريق إرسال أجهزة Android في حالة فوضى MMS مهيئة بشكل خبيث
تسببت هذه العيوب في جهود تصحيح منسقة من مصنعي الأجهزة التي وصفها مهندس الأمان الرائد في Android ، أدريان لودفيج ، بـ "أكبر تحديث للبرنامج الموحد في العالم". كما ساهم أيضًا في التزام Google و Samsung و LG بالحماية الشهرية التحديثات مستقبلاً.
واحدة من العيوب التي اكتشفها Zimperium حديثًا موجودة في مكتبة Android أساسية تسمى libutils وتؤثر على جميع الأجهزة التي تعمل بإصدارات Android الأقدم من 5.0 (Lollipop) تقريبًا. يمكن أيضًا استغلال الثغرة الأمنية في Android Lollipop (5.0 - 5.1.1) من خلال دمجها مع خطأ آخر موجود في مكتبة Stagefright.
يشير باحثو Zimperium إلى الهجوم الجديد كـ Stagefright 2.0 ويعتقدون أنه يؤثر على أكثر من مليار
نظرًا لإغلاق متجه الهجوم السابق لـ MMS في الإصدارات الأحدث من Google Hangouts وتطبيقات المراسلة الأخرى بعد العثور على عيوب Stagefright السابقة ، فإن طريقة الاستغلال الأكثر مباشرة للأحدث نقاط الضعف هي عبر متصفحات الويب ، Zimperium قال الباحثون:
يمكن للمهاجمين خداع المستخدمين لزيارة مواقع الويب التي تستغل الخلل من خلال الروابط في البريد الإلكتروني والرسائل الفورية أو من خلال الإعلانات الخبيثة المعروضة على المواقع الشرعية.
المهاجمين في الوسط الذين هم في وضع يمكنها من يمكن لاتصالات الإنترنت لمستخدمي التقاطعات ، على سبيل المثال على الشبكات اللاسلكية المفتوحة أو من خلال أجهزة التوجيه المخترقة ، أن تقوم بحقن الاستغلال مباشرة في حركة مرور الويب غير المشفرة.
Th وقال الباحثون إن زيمبيريوم قد أبلغ عن العيوب التي تعرض لها جوجل في 15 أغسطس (آب) ، حيث يمكن استخدام برنامج Media Player أو تطبيقات المراسلة الفورية التي تعتمد على مكتبة Android الضعيفة لقراءة البيانات الوصفية من ملفات MP3 و MP4 كمتجه للهجوم. وتخطط لإصدار رمز استغلال إثبات الفكرة بمجرد إصدار الإصلاح.
سيظهر هذا الإصلاح في 5 تشرين الأول كجزء من التحديث الأمني الجديد الذي تم تحديثه شهريًا لنظام Android ، حسبما قال أحد ممثلي Google.
نقاط الضعف مثل CVE-2015-3876 و CVE-2015-6602. شاركت بقع لهم مع شركاء تصنيع المعدات الأصلية في 10 سبتمبر ، جنبا إلى جنب مع جميع الإصلاحات التي سيتم تضمينها في التحديث الأمني في أكتوبر.
العيوب السابقة Stagefright دفعت الباحثين إلى التحقيق في مكتبات معالجة الوسائط المتعددة الروبوت لمواطن الضعف إضافية. منذ ذلك الحين ، وجد الباحثون من بائع مضاد الفيروسات تريند مايكرو العديد من المشكلات في هذه المكونات وأبلغوا عنها.
"نظرًا لاستكشاف المزيد والمزيد من الباحثين العديد من نقاط الضعف الموجودة داخل مكتبة Stagefright والمكتبات المرتبطة بها ، فإننا نتوقع رؤية المزيد من نقاط الضعف في نفس المنطقة "قال الباحثون في زمبيريوم في تقريرهم. "قال العديد من الباحثين في المجتمع إن Google ردت على الأخطاء التي أبلغت عنها بأنها مكررة أو تم اكتشافها داخليًا."
تخطط Zimperium لتحديث التطبيق المجاني Stagefright Detector مع الكشف عن العيوب بمجرد أن تصبح البقع متاحة.
تصحيحات OpenSSL ثمانية ثغرات أمنية جديدة
تكون العيوب متدنية ومتدنية الخطورة ، ولكن لا يزال يجب على مسؤولي الخوادم تحديث
وضع ثغرات أمنية جديدة على Android أكثر من 1 مليار جهاز عرضة لخطر الاختراق عن بُعد
نقاط الضعف المكتشفة حديثًا في طريقة معالجة Android لـ MP3 و MP4 يمكن للملفات أن تسمح للمهاجمين بتهديد الأجهزة عن طريق خداع المستخدمين لزيارة صفحات الويب المصممة خصيصًا. Meet Stagefright 2.0.
