قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.


خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.

في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.


وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.

ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.


تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.

ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.

في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي

"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.


ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.

تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.

عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.

"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.


عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.

الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.

كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.

لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".

عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.

يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.

لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.

إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.

المصدر: بوابة الوفد

كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram

إقرأ أيضاً:

نتنياهو يمثل للمرة السادسة أمام المحكمة بتهم فساد

مثل رئيس الوزراء الإسرائيلي بنيامين نتنياهو، اليوم الثلاثاء، للمرة السادسة أمام المحكمة المركزية في تل أبيب للرد على تهم الفساد الموجهة إليه.

وبدأ نتنياهو في 10 ديسمبر/كانون الأول الجاري، وللمرة الأولى منذ اتهامه عام 2019، الإدلاء بإفادته في تهم موجهة إليه بالرشوة والاحتيال وإساءة الأمانة.

وذكرت القناة 12 أنه تم تعليق جلسة محاكمة نتنياهو 15 دقيقة بعد تلقيه تحديثا أمنيا، وقالت القناة الإسرائيلية "يدلي رئيس الوزراء نتنياهو بشهادته اليوم الثلاثاء، للمرة السادسة في محاكمته، وتتناول شهادته الملف 4000".

وتتعلق الاتهامات في الملف 4000 بتقديم تسهيلات للمالك السابق لموقع "والا" الإخباري شاؤول إلوفيتش الذي كان أيضا مسؤولا في شركة بيزك للاتصالات، مقابل تغطية إعلامية إيجابية.

ويركز التحقيق الرئيسي على علاقة نتنياهو برجل الأعمال شاؤول إلوفيتش والمزايا التي منحها له باعتباره المالك المسيطر على شركة الاتصالات بيزك.

وتابعت "حتى الآن، حاول محامو نتنياهو الادعاء، من بين أمور أخرى، بأن والا الذي امتلكه إلوفيتش كان موقعا معاديا".

وزادت القناة أنه لم تكن هناك تفاهمات بين نتنياهو وإلوفيتش، وأن "علاقته (نتنياهو) مع والا لم تكن غير عادية".

إعلان

وأردفت "ادّعى نتنياهو أنه لم يكن يعرف إلوفيتش شخصيا في الوقت الذي وقع فيه أحد التصاريح، مما سمح لإلوفيتش بأن يصبح المالك المسيطر على بيزك".

وقال نتنياهو "معرفتي به كانت بالضبط ما وصفته بأنه جزء من مجموعة أشخاص هم قادة في الاقتصاد، وليست معرفة شخصية".

ويتوقع أن يستمر مثول نتنياهو أمام المحكمة حتى الانتهاء من الاستماع إلى ردوده على التهم الموجهة إليه.

ويواجه نتنياهو اتهامات بالفساد والرشوة وإساءة الأمانة في ما يعرف بملفات 1000 و2000 و4000 الأكثر خطورة، وقدم المستشار القضائي السابق للحكومة أفيخاي مندلبليت لائحة الاتهام المتعلقة بها في نهاية نوفمبر/تشرين الثاني 2019.

وإضافة إلى الملف 4000، يتعلق الملف 1000 بحصول نتنياهو وأفراد من عائلته على هدايا ثمينة من رجال أعمال أثرياء، مقابل تقديم تسهيلات ومساعدات لهذه الشخصيات في مجالات مختلفة.

أما في الملف 2000 فيُتهم بالتفاوض مع أرنون موزيس، ناشر صحيفة يديعوت أحرونوت، للحصول على تغطية إعلامية إيجابية.

مقالات مشابهة

  • «سامسونج» تطلق ميزة جديدة لإدارة الإشعارات
  • هوكشتاين غير مؤثر
  • إجراءات إستثنائية لتشغيل القطار الكهربائي الخفيف الجمعة | تفاصيل
  • إحالة ملف المتهمين بقضية التآمر بتونس إلى دائرة الإرهاب
  • أمير هشام: كونراد لا يستحق الاقتراب من سور الزمالك.. والاعذار انتهت لمجلس لبيب
  • أمير هشام: كونراد لا يستحق الاقتراب من سور الزمالك.. والأعذار انتهت لمجلس لبيب
  • منظمة حقوق الإنسان: هناك إرادة سياسية لدى الدولة المصرية لتحسين هذا الملف
  • عاجل | مدير تنسيق شؤون المطارات السورية للجزيرة: نتعاون مع قطر وتركيا لتشغيل مطار دمشق بشكل كامل
  • نتنياهو يمثل للمرة السادسة أمام المحكمة بتهم فساد
  • تطبيق "One Sec" لمكافحة التصفح العشوائي وتحقيق التوازن الرقمي