أخبار الثغرات

مرة أخرى ثغرة في متصفح Firefox 3.0.8

تم أرشفة هذا المحتوى


لم يمضي أكثر من 10 أيام على اطلاق الاصدار 3.0.8 من متصفح فايرفوكس ولكن هذه المرة أيضا لم يسلم المتصفح من أيدي الهاكرز ومكتشفي الثغرات فلقد تم الاعلان عن وجود ثغرة جديدة أصابت الاصدار 3.0.8 يمكن استغلالها عن بعد وتؤدي لعمل Crash وانهيار المتصفح.

Firefox Logo

 

تصنف هذه الثغرة من فئة Denial of Service وهي ليست شديدة الخطورة ولاتمكن المهاجم من اختراق الجهاز أو التحكم به عن بعد.

حتى الآن نحن نعلم بأن الاصدار 3.0.8 هو المصاب بهذه الثغرة وقد تكون الاصدارات السابقة من متصفح فايرفوكس مصابة أيضاً لكن لا شيء مؤكد حتى الآن, تم ابلاغ شركة موزيلا ونتوقع صدور ترقيع قريبا في الأيام القادمة.

 

‫12 تعليقات

  1. السلام عليكم ورحمة الله وبركاته
    جزاك الله كل خير اخ مصطفى على المعلومة لكن ماذا يمكننا ان فعل حيال ذالك وأي متصفح هو أكثر أمنا لنعتمد عليه

  2. @ رد: saber
    وعليكم السلام
    عليك أن تنتضر اصدار التحديث الامني من موزيلا, وتقوم بأستخدام متصفح اخر (مؤقتاً) اعتقد هذه افضل الحلول

    للأن مافي متصفح قوي جداً أمنياً تقريباً كل المتصفحات نفس المستوى ولكن عن نفسي أرى فايرفوكس وكروم هم الأفضل.

    @ رد: hamed
    اختلف معك في وجهة النضر, عن نفسي أرى كل مافي الأمر ان المختصون في الأمن المعلوماتي يهون اكتشاف الثغرات في البرامج الأكثر شهرة واستخدام بالذات البرامج التي تعمل على أكثر من بيئة عمل مثل (ويندوز, لينكس, ماك..)

  3. عندي احساس ان قروب من الهكر يبغون يطيحون سمعة الفايرفوكس

    كنت متوقع انا ذلك

    لان الشركه نزلت الاصدار الجديد ذا عشان الثغرة الأولى

    وما أهتمت في النواحي الأآخرى

    لكن ماذا عن قوقل كروم لماذا لا يتم الهجوم عليه ؟؟؟؟

  4. متصفح عادي جداً ودائماً ألاحظ انة أول متصفح يتم اختراقة في جميع المسابقات!

    عن نفسي أفضل الفايرفوكس في المرتبة الأولى.

  5. السلام عليكم ورحمة الله وبركاته
    شكرا لك أخي مصطفى على المعلومة
    وأتمنى للموقع المزيد من العطاء و النجاح

  6. كلامك صحيح كل برنامج مشهور هو الأكثر تعرض للهجوم ولا يوجد برنامج خالي من الثغرات.. هذا أمر مفروغ منه لكن يختلف الوضع في البرامج المفتوحة المصدر فخلال مدة قصيرة سيصل البرنامج لمرحلة الثبات عكس البرامج المغلقة المصدر ممكن تكتشف ثغرة وتبقى سنة وأكثر بأيدي المخترقين دون أي علم عنها.

    بالنسبة لمتصفح أوبرا أستخدمه أحيانا لكنه لايعجبني جدا رغم ميزاته وهو بطيئ نوعا ما لأنه مبرمج بلغة JAVA ولا أحبه لأنه يعتمد على مكتبة QT وأنا أستخدم واجه GNOME وتطبيقات GTK.

    أما IE بمختلف اصداراته لا يمكنني أن أثق بهذا المتصفح ولا بأي شكل من الأشكال وأنا لا أستخدم نظام ويندوز أساسا وشركة مايكروسوفت كل مرة تقول نفس الجملة “هذا الاصدار أكثر أمانا من أي اصدار سابق” ودائما يحصل العكس! وأغلب التطويرات التي تضيفها على المتصفح تكون على حساب الأمان والثبات وبخصوص ASLR فهي موجودة من أساس كيرنل لينوكس منذ الاصدار 2.6 وان لم يخب ظني موجودة في نظام VISTA أيضا لكن حسب ماقرأت يوجد طرق تمكننا من التخطي واستغلال الثغرة (ASLR سيصعب عملية الاستغلال فقط!)

  7. مشكور أخي عبد المهيمن على الرد المفيد.

    بخصوص ال ASLR هو سيصعب عملية استغلال الثغرات صحيح ولكنه أيضاً يرفع نسبة الأمان في النظام أو المتصفح. للأسف كلامك بخصوص كلام مايكروسوفت غير دقيق ليس دفعاً عن مايكروسوفت ولكن الإصدارات الحديثة آمن بشكل كبير جدّاً مقارنة بالأنظمة القديمة. هذا كلام من أناس تعمل في مجال أمن المعلومات وتقوم بأبحاث فيه. لا يوجد نظام كامل ولا شركة كاملة ولكن لا يمكن انكار جهود مايكروسوفت في المجال الأمني. للعلم غالب الثغرات يتم اكتشافها من قبل مايكروسوفت وليس من قبل غيرها ولكن بمجرد صدور ترقية هناك الآلاف من الهاكرز الجاهزين لعمل هندسية عكسية على الترقية لمعرفة الثغرة ووضع كود يستغلها واستخدامها ومدراء الانظمة يتأخرون في الغالب في ترقية أنظمتهم وهذا جزء من المشكلة فهم يحتاجون إلى معرفة تأثير الترقية قبل الشرع بالعملية وهو ما يأخذ وقتاً ويعطي الهاكرز فرصة للاستغلال.

    بخصوص المصادر المفتوحة والمغلقة اذكر بثغرة openssl حيث بقيت عامان كاملان دون اكتشاف وهي ثغرة خطيرة جدّاً.

    وشكراً لجهودك الرائعة أخي الكريم. 🙂

  8. عدد الثغرات الكبير المكتشف في فايرفوكس هو ثمن الشهرة كل متصفح مشهور معرض أكثر من غيره للهجوم لذلك اوبرا هو بديل جيّد كون استخدامه أقل ولكنه مثله مثل غيره.

    انترنت اكسبلورر 8 يعتبر من الناحية الامنية جيّد وذلك لاستخدامه تقنية ال DEP و ال ASLR وهاتان تساعدان في تعطيل الكثير من ال exploits الموجّهة للثغرات المكتشفة حديثاً.

    جوجل كروم يمكنه استخدامه لمن يريد جاسوساً عليه وعلى استخدامه للانترنت.

    مزيد حول التقنيتان
    http://en.wikipedia.org/wiki/Address_space_layout_randomization
    http://en.wikipedia.org/wiki/Data_Execution_Prevention

  9. بصراحة النقاش معك ممتع ومفيد أيضا بغض النظر ان كنت توافقني الرأي أم لا 🙂 لكن دعني أوضح لك سبب عدم ثقتي في Microsoft Internet Explorer ولماذا لا أستخدمه أيضا.

    1. كون هذا المتصفح هو الأكثر انتشارا فهو الأكثر معرض للهجوم وأغلب المواقع التي تنشر فيروسات ستضع استغلالات لهذا المتصفح..! أكثر انتشارا ليس لأنه الأفضل بل لأن مايكروسوفت تعتمد على نظام ويندوز في نشر متصفحها.

    2. تقنية Active X (تطويرات مايكروسوفت) خربت الدنيا فالآن بغض النظر ان كان المتصفح آمن أم لا اذا اكتشف ثغرة في مشغل الفلاش مثلا, الفيديو, أو أي برنامج أخر يعتمد على هذه التقنية من الممكن اخترق جهازي.. الآن تحاول مايكروسوفت تدارك الأمر واصدار طرق للحماية منها!

    3. بغض النظر ان كان المتصفح آمن أم لا دائما أحس أن IE لايحتوي على الابداع ولا أجد شيء مميز به فأغلب الأفكار الموجودة سرقت من Firefox أضف الى ذلك أنه لا يراعي المعايير القياسية CSS + XHTML !! يعني مايكروسوفت ماشية على مبدأ “خالف تعرف”!

    4. يوجد الكثير من الاضافات في فايرفوكس تعتبر أساسية بالنسبة لي ولا أستطيع الاستغناء عنها مثل NoScirpt و AdBlockPlus… لكن سمعت أن الاصدار القادم من مايكروسوفت سيدعم اضافات فايرفوكس أيضا!!!!

    5. أخيرا هذا المتصفح لا يعمل على لينوكس D:

    أما مايكروسوفت فشخصيا لا أكرهها ولا أنكر جهودها لكن اعذرني ان قلت لك أن هذه الشركة تلعب “بقذارة” مع المنافسين وتحاول دائما ابقاء المستخدمين مرتبطين بها وبتقنياتها ودائما هذه الشركة تعد وتعد بالكثير من الأمور الجديدة وتطلق شعارات خادعة وفي النهاية تخلف بوعودها ونظام VISTA مثال واضح أما كلامك عن الحماية فطبيعي جدا أن التقنيات المستخدمه تتطور في ويندوز ولينوكس وفي أي نظام أو برنامج آخر لكن خلال مدة بسيطة يتم تخطي هذه التقنيات وتطوير الثغرات وطرق استغلالها فثغرات BOF تعمل على أنظمة XP رغم وجود DEP وتعمل على VISTA رغم وجود ASLR 😉

    أما بالنسبة للثغرات فليس مايكروسوفت من يكتشفها بل غالبا شركات متخصصة بهذه الأمور بعد ذلك ترسل الثغرة وكافة المعلومات لمايكروسوفت أو عن طريق شركة وسيطة مثل ZDI التي بدورها ستراسل شركة مايكروسوفت التي ستدفع بضعة آلاف من الدولارات مقابل عدم نشر استغلال الثغرة (قد تأخذ العملية أكثر من شهر) عكس لينوكس تماما.

    عذرا على الاطالة ويبدو أني خرجت عن الموضوع قليلا.. ألم أقل لك أن النقاش معك ممتع P:

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى