أخبار الثغرات

انتشار استغلال لثغرة خطيرة مكتشفة في نظام MacOS X 10.6

تم أرشفة هذا المحتوى


نشر باحث أمني Maksymilian Arciemowicz من موقع SecurityReason استغلال (PoC) لثغرة خطيرة مكتشفة في نظام MacOS X أصابت كل من الاصدار 1.6 و 1.5 مع احتمال أن تكون الاصدارات السابقة مصابة أيضاً. الثغرة من نوع Buffer Overflow وتم تقييمها على أنها مرتفعة الخطورة لوجود احتمال من تمكّن المهاجم من استغلالها عن بعد.

Apple

 

يعود سبب الثغرة لخطأ برمجي في الدالة strtod و gdtoa بمكتبة libc المستخدمة في نظام Unix الذي بني عليه MacOS X وهذا أدى لاصابة كل من أنظمة FreeBSD, OpenBSD, NetBSD وعدّة برامج أخرى بالثغرة أيضاً منها متصفح Google Chrome و Opera بالاضافة لمتصفّح Firefox وأغلب منتجات شركة Mozilla.

البداية كانت بتاريخ 25 يونيو 2009 حيث أعلن الباحث الأمني عن وجود الثغرة بدون توفر أي اثبات لامكانية استغلالها, هذا دفع مطوري نظام OpenBSD وباقي الشركات الأخرى الى اصدار تحديث لمنتجاتهم أما نظام FreeBSD فأصدر تحديث للثغرة بتاريخ 5 يناير 2010 لكن كما يبدو شركة Apple تجاهلت الأمر ولم تصدر أي تحديث لنظامها!

حتى الآن لا يوجد أي رد من شركة أبل وحسب علمنا لا يوجد تحديث متوفّر بالوقت الحالي.

 

لمزيد من المعلومات: CVE-2009-0689

للاطلاع على الاستغلال: MacOS X 10.5/10.6 libc/strtod buffer overflow

‫11 تعليقات

  1. تاريخ أبل في التعامل مع الثغرات ومع الباحثين الامنيين حافل بالصلف والتجاهل والازدراء من قبل الشركة لهؤلاء الباحثين. كل الثغرات والهجمات التي تعرضت لها في سنة 2009 ولا زالت تصر على ان نظامها ليس بحاجة الى برامج مكافحة الفيروسات.

    هل ستتعلم درساً من هذه الثغرة؟ لا اعتقد.

    مشكور أخي عبد المهيمن على المتابعة

  2. والله انا اتوقع نظام الMAC يبي يكون اقل خطورة وتعرض للفيروسات بسبب عدم استخادمه بكثرة من قبل المستخدمين العاديين

  3. يا ترى متى تستفيق الابل و تنتبه الى خطورة تجاهلها المستمر للثغرات ؟ عندما تفقد كل عملائها ؟

  4. جميل
    هذا يعني أنه ربما Linux عرضة للخطر أيضا
    إفرح يا ماك ميلر فستستطيع إختراق اللينكس بعد 3 سنوات من العناء

  5. كلا لينوكس ليس معرض لهذه الثغرة وذلك لانه ليس مبني
    على سورس اليونكس بل هو شبيه باليونكس
    و على اي حال حتى لو تعرض لها فان الترقيع لن يتاخر في الصدور
    مثلما هو حال الماك

  6. أعلم هذا
    لكن حسب ما أعتقد أنه توجد مكتبة libc في بعض التوزيعات صح ؟
    طيب طيب
    أتمنى أن لا تكون هذه المكتبة في السلاكوار

  7. مكتبة libc في نظام لينوكس تختلف عن الموجودة في أنظمة Unix و BSD والأنظمة المبنية عليها مثل MacOS X لأنه تم اعادة كتابتها من الصفر لكن بطريقة متوافقة مع المكتبة الموجودة في أنظمة Unix.

  8. لقد اصدرت ابل بالفعل تحديث لمعالجة هذه المشكلة بتاريخ ١٩ يناير 2010
    http://support.apple.com/kb/HT1222
    وان كانت ابل قد تاخرت قليلا فهاذا لا يعني انها لا تهتم بامن عملائها ولكن هذا لحرصها علي كفاءت معالجة المشكلة

    وعموما شكرا علي الخبر

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى