نشر باحث أمني Maksymilian Arciemowicz من موقع SecurityReason استغلال (PoC) لثغرة خطيرة مكتشفة في نظام MacOS X أصابت كل من الاصدار 1.6 و 1.5 مع احتمال أن تكون الاصدارات السابقة مصابة أيضاً. الثغرة من نوع Buffer Overflow وتم تقييمها على أنها مرتفعة الخطورة لوجود احتمال من تمكّن المهاجم من استغلالها عن بعد.

يعود سبب الثغرة لخطأ برمجي في الدالة strtod و gdtoa بمكتبة libc المستخدمة في نظام Unix الذي بني عليه MacOS X وهذا أدى لاصابة كل من أنظمة FreeBSD, OpenBSD, NetBSD وعدّة برامج أخرى بالثغرة أيضاً منها متصفح Google Chrome و Opera بالاضافة لمتصفّح Firefox وأغلب منتجات شركة Mozilla.

البداية كانت بتاريخ 25 يونيو 2009 حيث أعلن الباحث الأمني عن وجود الثغرة بدون توفر أي اثبات لامكانية استغلالها, هذا دفع مطوري نظام OpenBSD وباقي الشركات الأخرى الى اصدار تحديث لمنتجاتهم أما نظام FreeBSD فأصدر تحديث للثغرة بتاريخ 5 يناير 2010 لكن كما يبدو شركة Apple تجاهلت الأمر ولم تصدر أي تحديث لنظامها!

حتى الآن لا يوجد أي رد من شركة أبل وحسب علمنا لا يوجد تحديث متوفّر بالوقت الحالي.

لمزيد من المعلومات: CVE-2009-0689

للاطلاع على الاستغلال: MacOS X 10.5/10.6 libc/strtod buffer overflow

التعليقات (11)

لكن كما يبدو شركة Apple تجاهلت الأمر ولم تصدر أي تحديث لنظامها!
أرسلت بواسطة: باحث عن المعرفة في January 12, 2010

تاريخ أبل في التعامل مع الثغرات ومع الباحثين الامنيين حافل بالصلف والتجاهل والازدراء من قبل الشركة لهؤلاء الباحثين. كل الثغرات والهجمات التي تعرضت لها في سنة 2009 ولا زالت تصر على ان نظامها ليس بحاجة الى برامج مكافحة الفيروسات.

هل ستتعلم درساً من هذه الثغرة؟ لا اعتقد.

مشكور أخي عبد المهيمن على المتابعة

• 
• -2
• 
• 

تعليق
أرسلت بواسطة: mrloong في January 12, 2010

والله انا اتوقع نظام الMAC يبي يكون اقل خطورة وتعرض للفيروسات بسبب عدم استخادمه بكثرة من قبل المستخدمين العاديين

• 
• -1
• 
• 

...
أرسلت بواسطة: Alaa في January 12, 2010

يا ترى متى تستفيق الابل و تنتبه الى خطورة تجاهلها المستمر للثغرات ؟ عندما تفقد كل عملائها ؟

• 
• -1
• 
• 

ممممممممم
أرسلت بواسطة: SAFAD في January 13, 2010

جميل
هذا يعني أنه ربما Linux عرضة للخطر أيضا
إفرح يا ماك ميلر فستستطيع إختراق اللينكس بعد 3 سنوات من العناء

• 
• +0
• 
• 

...
أرسلت بواسطة: Alaa في January 13, 2010

كلا لينوكس ليس معرض لهذه الثغرة وذلك لانه ليس مبني
على سورس اليونكس بل هو شبيه باليونكس
و على اي حال حتى لو تعرض لها فان الترقيع لن يتاخر في الصدور
مثلما هو حال الماك

• 
• +0
• 
• 

لكن ....
أرسلت بواسطة: SAFAD في January 14, 2010

أعلم هذا
لكن حسب ما أعتقد أنه توجد مكتبة libc في بعض التوزيعات صح ؟
طيب طيب
أتمنى أن لا تكون هذه المكتبة في السلاكوار

• 
• +0
• 
• 

رد: SAFAD
أرسلت بواسطة: عبدالمهيمن في January 14, 2010

مكتبة libc في نظام لينوكس تختلف عن الموجودة في أنظمة Unix و BSD والأنظمة المبنية عليها مثل MacOS X لأنه تم اعادة كتابتها من الصفر لكن بطريقة متوافقة مع المكتبة الموجودة في أنظمة Unix.

• 
• +3
• 
• 

شكرا
أرسلت بواسطة: SAFAD في January 14, 2010

شكرا على التوضيح
أه سؤال أخير
Haiku Os إبن BeOs إبن Unix
يعني .....

• 
• +0
• 
• 

شكر
أرسلت بواسطة: Hit-Man في January 16, 2010

بارك الله فيك أخي على الخبر

• 
• +0
• 
• 

...
أرسلت بواسطة: yehia amer في January 21, 2010

لقد اصدرت ابل بالفعل تحديث لمعالجة هذه المشكلة بتاريخ ١٩ يناير 2010
http://support.apple.com/kb/HT1222
وان كانت ابل قد تاخرت قليلا فهاذا لا يعني انها لا تهتم بامن عملائها ولكن هذا لحرصها علي كفاءت معالجة المشكلة

وعموما شكرا علي الخبر

• 
• +1
• 
• 

...
أرسلت بواسطة: cold zero في February 03, 2010

linux has little secure holes to hack

but not protect from stupid using from stupid users

• 
• +0
• 
•