قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.


خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.

في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.


وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.

ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.


تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.

ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.

في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي

"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.


ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.

تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.

عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.

"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.


عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.

الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.

كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.

لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".

عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.

يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.

لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.

إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.

المصدر: بوابة الوفد

كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram

إقرأ أيضاً:

Star Wars Outlaws تصلح مهام التخفي المزعجة

 لقد استمعت Massive وUbisoft إلى الشكاوى وقامتا بإصلاح واحدة من أكثر المشاكل وضوحًا في لعبة Star Wars Outlaws.

 يعرف اللاعبون ما أتحدث عنه. إنها مهام التخفي المملة التي تفشل تلقائيًا بمجرد اكتشاف شخص ما. 

تتيح التصحيحات الجديدة للعبة الاستمرار، حتى بعد القبض على شخص ما، حتى يتمكن اللاعبون من محاولة الخروج من موقف ما بإطلاق النار.

يقول المطورون إن هذا التغيير تم إقراره لإعطاء اللاعبين القرار بشأن ما إذا كانوا يفضلون التخفي أم القتال في أي سيناريو معين.

 يلاحظ درو ريشنر، المدير الإبداعي في لعبة Star Wars Outlaws، أن فريق التطوير قد أزال "التخفي القسري من جميع أهداف المهمة تقريبًا". ومع ذلك، لا يزال التخفي خيارًا لأي من هذه الأهداف. إنه ليس مطلوبًا فقط.

"تمثل لنا لعبة Star Wars Outlaws تجربة حقيقية للمجرمين، وبما أن كاي ونيكس من لصوص الشوارع، فإن التخفي سيكون دائمًا خيارًا للاعبين الذين يفضلون أسلوب اللعب هذا"، كتب المطورون في منشور على مدونتهم. "لقد سمعنا تعليقاتكم، ونحن ننفذ تغييرات تسمح بحرية أكبر للاعب وتبني المزيد من أساليب اللعب".

يعمل التحديث أيضًا على تحسين آليات الكشف أثناء التشغيل في وضع التخفي، حيث أن الذكاء الاصطناعي للعدو الموجود مسبقًا "قد يكون غير متوقع وغير متسق". الآن سيتمكن اللاعبون من اختيار التخفي أو العمل أو بالطبع مزيج من الاثنين. ستكون طريقتي المفضلة هي التخفي حتى يتم القبض علي، وهو ما يجب أن يحدث بعد حوالي خمس ثوانٍ من دخول المجمع.

يوسع إصدار اليوم اختيار اللاعب بطرق أخرى تتجاوز إزالة أهداف التخفي القسري. يمكن للاعبين الآن التقاط الأسلحة والاحتفاظ بها لفترات أطول من الوقت في الميدان، وقد أضاف المطورون "مزيدًا من الفرص لاستخدامها في سيناريوهات مختلفة". حصل القتال أيضًا على تحديث آخر، حيث سيتمكن اللاعبون الآن من استهداف أجزاء إضافية من جسم العدو بخلاف الرأس "لاستغلال نقاط الضعف".

يتضمن التحديث 1.4 أيضًا بعض الترقيات الرسومية الطفيفة، وذلك بفضل نظام كاميرا محسّن يعمل على تحسين التركيز. لمرافقة تحديث اليوم، أسقطت Ubisoft بعض المحتوى القابل للتنزيل للقصة يسمى Wild Card. يعد Lando Calrissian، الشرير المفضل لدى الجميع والذي تحول إلى بطل، لاعبًا رئيسيًا في هذا التوسع.

لا تزال لعبة Star Wars Outlaws تعاني من بعض المشاكل الصارخة، لكن Massive وUbisoft كانا مشغولين بتحسين اللعبة منذ إطلاقها. تتميز اللعبة الآن بقتال محسّن ومحسّن، مع إصلاح كامل لإحصائيات الأسلحة والأعداء المختلفين.

مقالات مشابهة

  • Star Wars Outlaws تصلح مهام التخفي المزعجة
  • «عاشور»: نتعاون مع شركة سيمنز الألمانية لتشغيل مشروع مستشفى الأورام 500500
  • هجوم من وهاب على وليد جنبلاط: عليك إقفال هذا الملف
  • بيسكوف: لم نبلغ واشنطن مسبقا بإطلاق صاروخ أوريشنيك لكن كان هناك تحذير تلقائي من مركز المخاطر النووية
  • مايكروسوفت تطلق أول كمبيوتر سحابي مصمم لمنصة Windows 365
  • تقني يكشف خاصية جديدة في سناب شات تمكن المستخدم من تعديل الرسائل .. فيديو
  • تطبيق ChatGPT متوفر الآن لنظام Windows.. إليك التفاصيل
  • احذروا.. ممارسة شائعة أثناء غسل الشعر قد تؤدي إلى سكتة دماغية مميتة
  • إطلاق أول نظام جزائري لتشغيل الحواسيب
  • إنقلاب في مواقف بعض النواب