بوابة الوفد:
2025-01-31@12:09:34 GMT

Telegram تصلح تطبيق Windows Zero-day المستخدم لتشغيل البرامج النصية لـ Python

تاريخ النشر: 14th, April 2024 GMT

قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.


خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.

في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.


وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.

ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.


تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.

ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.

في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي

"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.


ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.

تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.

عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.

"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.


عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.

الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.

كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.

لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".

عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.

يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.

لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.

إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.

المصدر: بوابة الوفد

كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram

إقرأ أيضاً:

Helion الناشئة تسابق الزمن لتشغيل أول مفاعل نووي اندماجي

رغم التحديات الهائلة التي تواجه مشاريع الاندماج النووي، تؤكد شركة Helion الناشئة أنها قادرة على تحقيق اختراق تقني يمكّنها من توليد الكهرباء عبر مفاعلها الاندماجي بحلول عام 2028، متجاوزة التأخيرات التي شهدها مشروع ITER الدولي، والذي لم ينجح حتى الآن في إنتاج تفاعل اندماجي مستدام.

تمويل ملياري ورؤية واعدة

تأسست Helion عام 2013، وتمكنت من جمع تمويل بقيمة 425 مليون دولار بدعم من شخصيات بارزة مثل سام ألتمان وبيتر ثيل، ليصل إجمالي استثماراتها إلى أكثر من مليار دولار، وتبلغ قيمتها السوقية حاليًا 5.4 مليار دولار.

تعتمد الشركة على مبدأ الاندماج النووي، الذي يُعد بمثابة "الكأس المقدسة" للطاقة النظيفة، حيث يولد كميات هائلة من الكهرباء دون انبعاثات كربونية أو نفايات مشعة طويلة الأمد، على عكس المفاعلات النووية التقليدية. ومع ذلك، فإن التحدي الأكبر يكمن في تحقيق تفاعل اندماجي مستدام ينتج طاقة أكثر مما يستهلك، وهو الأمر الذي لم يتحقق بعد، حتى مع مشاريع بمليارات الدولارات مثل ITER.

نهج مختلف.. بلا توربينات بخارية

على عكس المفاعلات الأخرى التي تعتمد على الحبس المغناطيسي أو القصور الذاتي، تتبنى Helion نهجًا فريدًا. حيث تقوم بحقن الديوتيريوم والهيليوم-3 في طرفي المفاعل، لتسخينهما إلى بلازما يتم تسريعها بسرعات تصل إلى مليون ميل في الساعة. عندما تتصادم البلازما في مركز المفاعل، يتم ضغطها مغناطيسيًا لتصل إلى درجة حرارة 100 مليون درجة مئوية، مما يؤدي إلى حدوث الاندماج.

بدلاً من استخدام التوربينات البخارية التقليدية لتحويل الحرارة إلى طاقة كهربائية، تعتمد Helion على تحفيز التيار الكهربائي مباشرة من التفاعل الاندماجي عبر المجالات المغناطيسية، مما يجعل النظام أبسط وأكثر كفاءة.

التحديات التقنية لا تزال قائمة

ورغم أن Helion نجحت في تحقيق معدلات نبض سريعة تقترب من متطلبات الاندماج، إلا أن التنفيذ على نطاق واسع لا يزال يشكل تحديًا كبيرًا. ووفقًا للرئيس التنفيذي ديفيد كيرتلي، فإن تحقيق اندماج مستدام يتطلب التغلب على عقبات تقنية ضخمة، مثل التحكم في النبضات الكهربائية التي تصل إلى ملايين الأمبيرات.

وتكمن المشكلة الأساسية التي تواجه جميع المفاعلات الاندماجية في السيطرة على طفرة الطاقة الهائلة التي تحدث عند التفاعل. فحتى الآن، لم يتمكن أي مشروع من ضبط هذه الظاهرة وتسخيرها لتوليد طاقة مستقرة.

خطوات مستقبلية وانتظار النتائج

تؤكد Helion أن مفاعلها الجديد Polaris أصبح "قيد التشغيل"، لكنها لم تكشف عن أي نتائج حتى الآن. وإذا تمكنت الشركة من الوفاء بوعودها، فقد يكون هذا المشروع نقطة تحول في مجال الطاقة الاندماجية، مما يمهد الطريق لمصدر طاقة نظيف ومستدام يمكنه إمداد المدن بالكهرباء دون أي تأثير بيئي سلبي.

لكن يبقى السؤال الأهم: هل ستنجح Helion حيث فشلت المشاريع الأخرى؟ الأيام المقبلة ستحمل الإجابة.

مقالات مشابهة

  • وکالة سوا الإخباریةقبل ۵ ساعة
  • الاتحاد الأوروبي يتحدث بشأن بعثته لتشغيل معبر رفح
  • كشف مسؤول بالاتحاد الأوروبي، اليوم الجمعة 31 يناير 2025، تفاصيل جديدة بشأن بعثته للمساعدة في تشغيل معبر رفح الحدودي بين مصر وقطاع غزة . وقال المسؤول بحسب صحيفة يديعوت احرونوت العبرية، إن القوة الأوروبية ستلعب دورا مهما في وقف إطلاق النار بقطاع غزة، مؤكداً أن الفكرة هي إعادة فتح معبر رفح في المرحلة الأولى للسماح للناس بمغادرة غزة. وأشار إلى أن القوة الأوروبية ستلعب دورا مهما في وقف إطلاق النار بقطاع غزة، لافتاً إلى أن الاتحاد يظهر الدعم لوقف إطلاق النار والتعاون بين إسرائيل والسلطة الفلسطينية. وأوضح المسؤول أن ضباط...
  • عین لیبیاقبل ۱۷ ساعة
  • «آبل» تطلق ميزات جديدة لـ«الحواسب المحمولة»
  • أعلنت شركة “آبل”، “عن تحديث جديد لأنظمة حواسبها المحمولة، حمل معه ميزات جديدة غير مسبوقة لتلك الأجهزة”. وبحسب الشركة، “من بين ما أبرز الميزات التي حملها تحديث macOS Sequoia 15.3 الجديد هو أداة Genmoji التي تعتمد على الذكاء الاصطناعي، والتي تمكن المستخدم من صنع رموز تعبيرية مميزة لمشاركتها عبر تطبيقات الرسائل أو البريد الإلكتروني، وللاستفادة من هذه الميزة يتعين على المستخدم كتابة وصف للرمز التعبيري الذي حصل عليه، لتظهر له عدة خيارات من هذا الرمز”. وأشارت “آبل”، “إلى أن تحديث macOS Sequoia 15.3 عالج بعض المشكلات التي كان المستخدمون يشتكون...
  • بوابة الوفدقبل ۲۰ ساعة
  • أفضل نباتات العطور التي تصلح زراعتها في مصر
  • تعتبر زراعة النباتات العطرية من أهم الأنشطة الزراعية التي تحقق عوائد اقتصادية مرتفعة، خاصة مع زيادة الطلب المحلي والعالمي على الزيوت العطرية الطبيعية، و تمتلك مصر مقومات بيئية مثالية لزراعة العديد من النباتات العطرية التي تدخل في صناعة العطور ومستحضرات التجميل والمنتجات الدوائية. في هذا التقرير، نسلط الضوء على أفضل النباتات العطرية التي يمكن زراعتها في مصر لتحقيق أقصى استفادة زراعية وتجارية.أهم النباتات العطرية المناسبة للزراعة في مصر1. الياسمينلماذا يُزرع في مصر؟تمتلك مصر أكثر من 50% من الإنتاج العالمي للياسمين، خاصة في محافظة الجيزة.يتمتع الياسمين المصري بجودة عالية في استخلاص الزيوت...
  • البوابة نیوزقبل ۲۱ ساعة
  • استجابة لشكاوى المواطنين.. الإسكندرية تصلح الطبقة الأسفلتية بمنطقة كوبري النوبارية
  • تابع أحدث الأخبار عبر تطبيق في إطار الاستجابة لشكاوى المواطنين، تنفيذا لتكليفات الفريق أحمد خالد حسن سعيد محافظ الإسكندرية، سيتم البدء في إعادة اصلاح وكشط الطبقة الأسفلتية بالكيلو 3 منطقة كوبري النوبارية بشاير الخير نطاق قسم مرور محور التعمير، في الاتجاه القادم من الإسكندرية اتجاه العروبة، لإجراء الصيانة اللازمة للطريق مرة أخرى.وذلك اعتبارًا من غدا الجمعة 31 يناير 2025، ولمدة أسبوع، على أن تكون الأعمال يوميا من الساعة 7 صباحًا حتى 6 مساءً، والتأكيد على أن تلك الأعمال لن تؤثر علي إيقاف الحركة المرورية بالطريق.
  • البوابة نیوزقبل ۲ یوم
  • مايكروسوفت تؤكد وجود خلل فى الصوت يؤدي لمشاكل في إصدارات ويندوز
  • تابع أحدث الأخبار عبر تطبيق   أكدت شركة مايكروسوفت أن المشاكل التي حدثت في الفترة الأخيرة والتي أثرت على عدد من إصدارات نظام التشغيلWindows سيتم معالجتها وإصلاحها، ومع ذلك بإمكان المستخدمين معالجة المشكلة من خلال إيجاد بديل وحل يدوي . يؤثر هذا الخلل على أنظمة الصوت فى إصدارات Windows 11 وWindows 10 التي تم تثبيت تحديث الأمان الخاص بها في يناير 2025 عليها، مما يجعل الأصوات على أجهزة الكمبيوتر لا تعمل  ، ومن المرجح أن يحدث هذا الخلل بشكل خاص إذا كان لديك محول رقمي إلى تناظري DAC صوتي متصل بجهاز الكمبيوتر...
  • بوابة الوفدقبل ۲ یوم
  • Helion الناشئة تسابق الزمن لتشغيل أول مفاعل نووي اندماجي
  • رغم التحديات الهائلة التي تواجه مشاريع الاندماج النووي، تؤكد شركة Helion الناشئة أنها قادرة على تحقيق اختراق تقني يمكّنها من توليد الكهرباء عبر مفاعلها الاندماجي بحلول عام 2028، متجاوزة التأخيرات التي شهدها مشروع ITER الدولي، والذي لم ينجح حتى الآن في إنتاج تفاعل اندماجي مستدام.تمويل ملياري ورؤية واعدةتأسست Helion عام 2013، وتمكنت من جمع تمويل بقيمة 425 مليون دولار بدعم من شخصيات بارزة مثل سام ألتمان وبيتر ثيل، ليصل إجمالي استثماراتها إلى أكثر من مليار دولار، وتبلغ قيمتها السوقية حاليًا 5.4 مليار دولار.تعتمد الشركة على مبدأ الاندماج النووي، الذي يُعد...
  • بوابة الوفدقبل ۲ یوم
  • اكتشف تكنولوجيا المستقبل مع galaxy ai في هاتف سامسونج S25
  • يُعَدّ سامسونج S25 من أحدث هواتف سامسونج الذكية، حيث يجمع بين التصميم الأنيق والتقنيات المتقدمة، مع التركيز على تكنولوجيا الذكاء الاصطناعي (Galaxy AI) لتعزيز تجربة المستخدم.مميزات سامسونج S25:المعالج والأداء: يعمل الهاتف بمعالج سناب دراجون 8 إيليت، مما يضمن أداءً سريعًا وفعّالًا في تشغيل التطبيقات والألعاب. الشاشة: مزود بشاشة Dynamic AMOLED 2X بحجم 6.2 بوصة، بدقة عالية، توفر تجربة مشاهدة مميزة. الكاميرا: يحتوي على كاميرا خلفية بدقة 50 ميجابكسل، مدعومة بتقنيات الذكاء الاصطناعي لتحسين جودة الصور في مختلف الظروف. البطارية: مزود ببطارية بسعة 4000 مللي أمبير، تدعم الشحن السريع، مما يضمن استخدامًا طويلاً دون...
  • صدى البلدقبل ۳ یوم
  • ضوابط رؤية الهلال وهل تصلح بالعين المجردة؟.. دار الإفتاء تجيب
  • قالت دار الإفتاء المصرية، إنه سيتم استطلاع هلال شهر شعبان، بعد غروب شمس غد الأربعاء الموافق التاسع والعشرين من شهر رجب المبارك.رؤية هلال شعبانوكتبت دار الإفتاء فى منشور لها عبر صفحتها الرسمية بموقع التواصل الاجتماعي “فيسبوك”: “نستطلع هلال شهر شعبان غدًا بإذن الله تعالى، وسيتم إعلان نتيجة استطلاع الهلال على الصفحة، اللهم بلغنا رمضان.ويستحب عند رؤية الهلال، أن نقول دعاء رؤية الهلال، فكان النبي صلى الله عليه وسلم إِذا رأى الهِلالَ، قال: «اللَّهُ أَكْبَرُ، اللَّهُمَّ أَهِلَّهُ عَلَيْنَا بِالْأَمْنِ وَالْإِيمَانِ، وَالسَّلَامَةِ وَالْإِسْلَامِ، وَالتَّوْفِيقِ لِمَا يُحِبُّ رَبُّنَا وَيَرْضَى، رَبُّنَا وَرَبُّكَ اللَّهُ» (سنن...
  • بوابة الوفدقبل ۳ یوم
  • Bluesky تضيف علامة تبويب فيديو إلى ملفات تعريف المستخدم
  • أعلنت Bluesky للتو أنها ستضيف علامة تبويب فيديو جديدة إلى ملفات تعريف المستخدم كجزء من تحديث البرنامج، هذا ليس شيئًا مجنونًا للغاية. إنها مجرد طريقة سهلة للمستخدمين لتصفح جميع مقاطع الفيديو التي نشرها شخص ما بسهولة، سواء كان محتوى أصليًا أو أشياء تم سحبها من شبكات اجتماعية أخرى. إنها مثل علامة التبويب الوسائط الموجودة مسبقًا، ولكنها مخصصة لمقاطع الفيديو حصريًا.هذه خطوة أخرى من Bluesky “للتحول إلى الفيديو”، لقد قدمت مؤخرًا ميزة لقطات عمودية على الهاتف المحمول تسمى Trending Videos، والتي تذكرنا بشكل مخيف بـ TikToks وYouTube Shorts وInstagram Reels. Bluesky تطلق...
  • بوابة الفجرقبل ۳ یوم
  • البريد المصري "يحذر" من الرسائل النصية والروابط غير معلومة المصدر.. التي تستهدف اختراق حسابات المواطنين
  •  تلاحظ من خلال المتابعة والرصد للأمن السيبراني ورود رسائل نصية إلى بعض عملاء البريد المصري من أرقام هواتف محلية ودولية، يطلبون من خلالها تحديث بعض البيانات، وذلك لتسليم طرود وبعائث بريدية عن طريق الضغط على روابط غير معلومة المصدر  بهدف اختراق حسابات المواطنين.لذا، يوضح البريد المصري أن جميع هذه الرسائل ليست صادرة من البريد المصري، مؤكدًا أنه لم ولن يُطلب من السادة العملاء الضغط على أي روابط لاستكمال بياناتهم، أو دفع مصاريف شحن، أو أي رسومٍ أخرى عبر الهاتف المحمول أو الرسائل النصية.ويشدد البريد المصري على ضرورة عدم إعطاء أية...

العناوين

الأكثر قراءة

كلمات دلالية

جمیع الأخبار