Telegram تصلح تطبيق Windows Zero-day المستخدم لتشغيل البرامج النصية لـ Python
تاريخ النشر: 14th, April 2024 GMT
قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.
خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.
في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.
وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.
ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.
تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.
ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.
في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي
"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.
ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.
تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.
عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.
"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.
عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.
الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.
كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.
لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".
عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.
يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.
لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.
إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.
المصدر: بوابة الوفد
كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram
إقرأ أيضاً:
ابتكار فستان وردي اللون يمزج بين التكنولوجيا والموضة يضيء ويتحرك تلقائيًا
دبي، الإمارات العربية المتحدة (CNN)-- عندما خطرت في بال كريستينا إرنست فكرة فستان يدور ذاتيًا، لم تتردّد الشابة في تصميمه، وبرمجة ذراعيه الآليتين لرفع حاشية ثوب وردي اللون رومانسي، وتحريكه يمينًا ويسارًا.
حولت الشابة الخيال إلى واقع من خلال قطعة كورسيه علوية متلألئة ومبطنة بشموع اصطناعية، بالإضافة إلى ثوب مزين بألواح زجاجية ملونة، يمكن إضاءتها مثل النوافذ التي تُرى ليلًا.
على مدار العام الماضي، جذبت الشابة التي تبلغ من العمر 28 عامًا مئات الآلاف من المتابعين عبر الإنترنت بفضل مشاريعها المبتكرة في مجال الأزياء، والتي تجمع بين تقنيات البرمجة، والدوائر الإلكترونية.
عندما لا تكون منشغلة بعملها كمهندسة برمجيات بمكتب "غوغل" في منطقة ويست لوب بأمريكا، تقضي إرنست وقتها في المنزل لإجراء تجارب تجمع بين الموضة والهندسة، وتوثيق كل مشروع لجمهورها على الإنترنت.
View this post on InstagramA post shared by She Builds Robots (@shebuildsrobots)
من خلال موقعها التعليمي وحساباتها عبر وسائل التواصل الاجتماعي، تحت اسم "She Builds Robots"، تأمل الشابة في تشجيع المزيد من النساء على دخول مجالات العلوم، والتكنولوجيا، والهندسة، والرياضيات.
قالت إرنست بمقابلة في مختبر "Maker Lab" التابع لمكتبة شيكاغو العامة، حيث أمضت فترة إقامة لمدة 12 أسبوعًا: "عندما كنتُ صغيرة، كنتُ أتمنى أن أرى تمثيلًا تقنيًا لاهتماماتي الخاصة في الموضة، والفن، والرسم.. أحببتُ كل هذه الأشياء، لكنني لم أعتقد يومًا أنها تتوافق مع عالم التكنولوجيا".
سحر التكنولوجياعادةً ما تراود إرنست أفكار طموحة وعديدة لشهورٍ متواصلة، إذ أوضحت: "التكنولوجيا أمر ساحر حقًا بالنسبة لي.. عندما أقول إنني أصنع فساتين روبوتية، لا أريد منها أن تبدو كما يتخيلها الناس قط".
وأضافت: "عنصر الدهشة والخيال أمران مهمان جدًا بالنسبة لي. جميع تصاميمي تُبرز هذا الجانب وتجذب الذين لا يهتمون بالهندسة عادةً".
رغم أنّها لا تخطط لدخول عالم الموضة رسميًا، إلا أنّ التقنيات الروبوتية على منصات العرض ولَّدت بعض من أكثر اللحظات التي لا تُنسى في هذه الصناعة.
View this post on InstagramA post shared by She Builds Robots (@shebuildsrobots)
قبل عامين، تعاونت علامة "كوبرني" مع "Boston Dynamics" في العاصمة الفرنسية باريس، لإرسال الكلاب الروبوتية التابعة للشركة بهدف التفاعل مع عارضات الأزياء، لمساعدتهن على خلع معاطفهن وحمل حقائب اليد.
اكتشفت إرنست هذا المزيج المُثير للدهشة مُبكرًا من خلال أول مشروع أزياء عملت عليه في مرحلة دراستها الجامعية، والذي كان عبارة عن فستان مُتغير الألوان يعمل بتقنية الـ"بلوتوث"، صممته خلال "هاكاثون" بجامعة إلينوي الأمريكية.
وأوضحت أنّ عدد الفتيات اللواتي اقتربن من جناحها في المعرض، وطالبن بتعليمات حول كيفية إعادة تصميم الفستان كان بمثابة "لحظة إلهام" لها، فأدركت حينها أنّ مشاريع الأزياء يمكن أن تكون بوابةً لدراسات العلوم، والتكنولوجيا، والهندسة، والرياضيات.
تقبّل الفشلفي العام الماضي، عملت إرنست كمصممة مقيمة في مكتبة شيكاغو العامة، حيث قدّمت دروسًا مجانية في فرع مكتبة هارولد واشنطن، بينما كانت تعمل على توسيع قاعدة جمهورها عبر الإنترنت.
برلماني يطالب بإجراء تعديل تشريعي شامل في قانون الضريبة على العقارات المبنية