| ثغرة Buffer Overflow في مكتبة GDI بأنظمة ويندوز |
| الكاتب عبدالمهيمن الآغا |
| الخميس, 26 مارس 2009 06:57 |
|
اكتشاف ثغرة Buffer Overflow في جميع اصدارات نظام ويندوز XP و VISTA, تؤدي لاختراق الجهاز عن بعد باستخدام صورة تكون بامتداد EMF, تستغل هذه الثغرة خطأ في مكتبة معالجة الصور GDI+ الموجودة في نظام ويندوز حيث يقوم المهاجم بصناعة ملف يحتوي على أكواد معينة تؤدي لتخريب الذاكرة وتشغيل شيل كود تمكن المهاجم من اختراق الجهاز.  الجدير بالذكر أن هذه ليست أول مرة يتم فيها اكتشاف ثغرة في هذه المكتبة, والتاريخ يشهد العديد من الثغرات الخطيرة التي أصابت نظام ويندوز بسبب مكتبة GDI+ تحديدا. الخطورة تكمن بانتشار استغلال هذه الثغرة (XP فقط) في مواقع الثغرات وتوفر الكود بأيدي المخترقين, وأتوقع فترة بسيطة وسينتشر كود الاستغلال الخاص بنظام VISTA و ويندوز XP SP3. حتى تاريخ كتابة هذا الموضوع لم يتم اصدار أي تحديث من شركة مايكروسوفت والغريب بالأمر اكتشاف العديد من الثغرات الخطيرة 0-Day وانتشار كود الاستغلال الخاص بها خلال الأربع وعشرين ساعة السابقة!
مزيد من المعلومات: Microsoft GDI+ EMF 'GpFont.SetData()' Buffer Overflow Vulnerability Microsoft GDI+ EMF Image Processing Memory Corruption Vulnerability
التعليقات (14)
  أرسلت بواسطة: Mustafa Albazy في March 27, 2009
بالعكس لينكس لما تطلع فية ثغرة .. تكون مميتة :) .. خصوصاً ثغرات الكيرنل
 أرسلت بواسطة: عبدالمهيمن في March 27, 2009
لا تنسى أنه يتم تحديثها خلال ساعات قليلة فقط عكس ويندوز :) أما ثغرات الكيرنل يوجد اصدارات ثابتة ويوجد الاصدارات التي يتم تطويرها وهذه ممكن اكتشاف فيها ثغرات في بعض الأحيان.
 أرسلت بواسطة: سفيان في March 27, 2009
ولكن هل هناك علاقة بين metasploit وهذه الثغرات إذا كان ممكن يا إخوان الشرح كيف يمكن الاستفاده منه في مثل هذه الثغرات الجديده
أرسلت بواسطة: عبدالمهيمن في March 27, 2009
أخي بعد اكتشاف الثغرة يتم برمجة استغلال لها وهنا ميتاسبلويت سهّلت الأمر في برمجة الاستغلال وفي طريقة استغلال الثغرة أيضا, أتوقع أن المسألة مسألة وقت حتى نرى الثغرة في مشروع ميتاسبلويت.
أرسلت بواسطة: سفيان في March 27, 2009
شكرا أخي عبد المهيمن على التوضيح ٠ إذا فهمت من كلامك أن الميتا تحتوي فقط علي استغلالات التغرات القديمة
 أرسلت بواسطة: خـٌرافـي في March 27, 2009
السلام عليكم ..
ماشاء الله ابداع متواصل من اصحاب هالموقع الرائع .. وبالفعل الويندوز ثغراته مميته عكس لينكس بسرعة الترقيع .. لكن يبقى ويندوز الاكثر شعبية نظرا ً لسهولة استخدامه لكن كيف يتم اكتشاف مثل هالثغرااات ..؟ ماذا نحتاج ..؟ بارك الله فيكم
أرسلت بواسطة: عبدالمهيمن في March 28, 2009
@سفيان: ليس بالضرورة.. في بعض الأحيان ينزل استغلال ثغرة مبرمج لمشروع ميتاسبلويت من الأساس بعد ذلك قد يصدر استغلالات أخرى مبرمجة بلغة بايثون, بيرل, سي... الأمر أولا وأخيرا عائد لمكتشف الثغرة.
@خـٌرافـي: أهلا أخي.. اكتشاف هذه النوعية من الثغرات غالبا يتم عن طريق الهندسة العكسية للبرنامج والمكاتب التي يستخدمها ويعتمد عليها في عمله بالاضافة لاستخدام أدوات Fuzzing و Debuggers مثل برنامج IDA Pro و OllyDbg لتحليل البرنامج ومعرفة كيفية تعامله مع البيانات.
أرسلت بواسطة: سفيان في March 28, 2009
شكرا على مجهودك الجبار وعلى أجوبتك المقنعة أخي عبد المهيمن
 أرسلت بواسطة: باحث في March 29, 2009
قد لا يعجب البعض هذا التعليق ولكن مايكروسوفت أسرع من غيرها بكثير في سدّ الثغرات وكذلك ردّها وتعاونها مع الباحثين الامنيّين.
ثغرة لينكس في بعض الاحيان تأخذ سنوات حتى يتم الالتفات لها. كثغرة مفاتيح OpenSSL الشهيرة في الأنظمة التي تعتمد على Debian مع ان سدّها لم يستغرق اكثر من دقائق. الثغرة الأحدث غير موجودة في فيستا وقد قمت بتجريب ال expolits ولم تعمل على فيستا.
أرسلت بواسطة: عبدالمهيمن في March 29, 2009
@سفيان: العفو أخي.. ان شاء الله تكون استفدت.
@باحث: أهلا بك أخي.. كود الاستغلال المتوفر خاص بثغرة GDI+ EMF 'GpFont.SetData()' ويعمل على ويندوز XP فقط, أما الثغرة الثانية فلقد أصابت جميع اصدارات ويندوز GDI+ EMF Image Processing Memory Corruption ولحسن الحظ لم ينتشر الاستغلال الخاص بهذه الثغرة :)
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
نام وانت مرتاح لا ثغره في هذا ولا ثغره في هذا واغلب الاختراقات له تكون من خطا المستخدم بتثبيت برامج فيها ثغرات