أسبوع الأمان 51: خطأ في برنامج WordPress 5.0 و Logitech ، وضعف صورة Facebook

بعد أسبوع واحد فقط من إصدار الإصدار الكبير من WordPress 5.0 ، أصدر مطورو CMS الأكثر شعبية في العالم رقعة تغطي عددًا من مواطن الضعف الخطيرة ( الأخبار ). تم إغلاق سبع فجوات ، والأكثر خطورة في بعض تكوينات WordPress تجعل من الممكن لمحركات البحث فهرسة صفحة التنشيط لمستخدم جديد. يحتوي عنوان URL للصفحة على مفتاح تنشيط ، حيث يصبح من الممكن تسريب عناوين البريد الإلكتروني للمستخدمين ، وفي بعض الحالات يتم أيضًا إنشاء كلمات المرور تلقائيًا.

تم حل المشكلة عن طريق نقل المعرف من URL إلى ملف تعريف الارتباط. تؤثر مشكلة عدم الحصانة أيضًا على الإصدار 4.x - بالنسبة لأولئك الذين ليسوا على استعداد لسبب ما للتبديل إلى WordPress 5.0 ، تم إصدار الإصدار 4.9.9. تسمح ثلاث نقاط ضعف أخرى في فئة XSS نظريًا لمستخدمي WordPress المسجلين بالفعل بزيادة الامتيازات ، في حالة واحدة - عن طريق تحرير تعليقات المسؤولين. تم إغلاق ثغرة أمنية في PHP أيضًا ، مما يسمح لك بتحديد مسار حفظ تعسفي عند تنزيل ملف. تحدثت الباحثة سام توماس عن المزيد عنها في مؤتمر BlackHat ( PDF ). يمكن العثور على مزيد من المعلومات حول جميع الثغرات المغلقة على مدونة Wordfence.

الفيسبوك تسربت البيانات مرة أخرى. أو أنها لم تتسرب: في الأسبوع الماضي ، أخبرت الشركة ( نشر الأخبار على مدونة FB) عن خطأ في واجهة برمجة التطبيقات التي سمحت لتطبيقات الطرف الثالث بالوصول إلى صور المستخدم. استمر الخطأ من 13 إلى 25 سبتمبر. في الوقت الحالي ، يمكن لتطبيقات الجهات الخارجية ، التي منحها المستخدمون بالفعل إمكانية الوصول إلى الصور على Facebook ، الوصول إلى جميع صور الحساب بشكل عام. في ظل الظروف العادية ، يتم منح الوصول فقط للصور التي ينشرها المستخدم في سيرته. لمدة أسبوعين تقريبًا ، كانت واجهة برمجة التطبيقات مفتوحة للصور من القصص والصور من سوق السلع المستعملة والمزيد. أتعس شيء هو أنه كان هناك وصول إلى الصور الخاصة ، حتى تلك التي لم ينشرها المستخدم في أي مكان ، ولكن تم تحميلها على الشبكة الاجتماعية.

بلغ التوزيع 6.8 مليون مستخدم. بعد المناقشات المعروفة حول خصوصية البيانات التي يتم جمعها بواسطة الشبكة الاجتماعية ، تجذب كل الأخبار حول ثغرة أمنية أخرى الكثير من الاهتمام. على الرغم من أنه في هذه الحالة ، لم يحدث شيء فظيع: لقد قاموا بعمل خلل ووجدوه وثبته. كانت المشكلة السابقة في وظيفة عرض الصفحة كمستخدم آخر أكثر خطورة. كالعادة ، ليس Facebook بمفرده بسبب نقاط ضعفه: بعد اكتشاف مشكلة أخرى على Google+ ، قرروا إغلاق هذه الشبكة الاجتماعية المؤسفة في وقت أبكر مما هو مخطط له .

نشر الباحث Tavis Ormandy من فريق Google Project Zero ( أخبار ، تقرير مفصل) تفاصيل الأخطاء في أداة لوحة المفاتيح Logitech. تم اكتشاف ثغرة أمنية في الأداة Logitech Options مرة أخرى في سبتمبر ، وبعد ذلك قامت الشركة المصنعة بإصلاح المشكلة لفترة طويلة إلى حد ما. لكن المشكلة مثيرة للاهتمام. بشكل عام ، تتيح لك هذه الأداة المساعدة إعادة تعيين الأزرار الموجودة على لوحة المفاتيح بناءً على طلب المستخدم ، وكان من غير المتوقع العثور على متجه هجوم هناك. ومع ذلك ، فهو موجود: يستمع التطبيق للأوامر الموجودة على منفذ TCP محدد ولا يتحقق على الإطلاق من مصدرها.

وبالتالي ، يصبح من الممكن التحكم في الأداة عن بُعد باستخدام صفحة ويب معدة. كانت هناك مشكلة مماثلة (على الرغم من بساطة العمل قليلاً) لوحظت على نطاق واسع من قبل أجهزة التوجيه: يمكن إدارتها عن بُعد دون علم المستخدم بفتح الصفحة في المستعرض. من خلال واجهة شبكة مفتوحة ، يمكنك تغيير إعدادات البرنامج ، وكذلك نقل تسلسلات تعسفية من الأحرف نيابة عن لوحة المفاتيح ، والتي يمكن نظريا استخدامها للسيطرة على النظام.

تبدأ الأداة المساعدة افتراضيًا عند قيام النظام بالتمهيد ، مما يجعل المشكلة أكثر خطورة. نشر الباحث المعلومات بعد الموعد النهائي ، 11 ديسمبر. بعد ذلك ، أصدر لوجيتك إصدارًا محدثًا من البرنامج يبدو أنه يغلق الثغرة الأمنية. ومع ذلك ، لا يتفق الجميع مع هذا البيان.

إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.