قامت Telegram بإصلاح ثغرة يوم صفر في تطبيق سطح المكتب الخاص بنظام Windows والتي يمكن استخدامها لتجاوز التحذيرات الأمنية وتشغيل برامج Python النصية تلقائيًا.


خلال الأيام القليلة الماضية، انتشرت شائعات على X ومنتديات القرصنة حول ثغرة أمنية مزعومة في تنفيذ التعليمات البرمجية عن بعد في Telegram لنظام التشغيل Windows.

في حين أن بعض هذه المنشورات زعمت أنها كانت عيبًا في النقر الصفري، فإن مقاطع الفيديو التي توضح تجاوز التحذير الأمني المزعوم وثغرة RCE تظهر بوضوح شخصًا ينقر على الوسائط المشتركة لتشغيل الآلة الحاسبة التي تعمل بنظام Windows.


وسرعان ما عارضت Telegram هذه الادعاءات، قائلة إنها "لا تستطيع تأكيد وجود مثل هذه الثغرة الأمنية" وأن الفيديو من المحتمل أن يكون خدعة.

ومع ذلك، في اليوم التالي، تمت مشاركة دليل على استغلال المفهوم في منتدى اختراق XSS موضحًا أنه يمكن استغلال خطأ مطبعي في التعليمات البرمجية المصدر لـ Telegram لنظام التشغيل Windows لإرسال ملفات Python .pyzw التي تتجاوز التحذيرات الأمنية عند النقر عليها.


تسبب هذا في تنفيذ الملف تلقائيًا بواسطة Python دون تحذير من Telegram كما هو الحال مع الملفات التنفيذية الأخرى، وكان من المفترض أن يتم ذلك مع هذا الملف إذا لم يكن هناك خطأ مطبعي.

ومما زاد الطين بلة، أن إثبات المفهوم أدى إلى إخفاء ملف بايثون على هيئة فيديو مشترك، إلى جانب صورة مصغرة، يمكن استخدامها لخداع المستخدمين للنقر على الفيديو المزيف لمشاهدته.

في بيان لـ BleepingComputer، اعترضت Telegram بحق على أن الخطأ كان عيبًا في النقر الصفري، لكنها أكدت أنها أصلحت "المشكلة" في Telegram لنظام التشغيل Windows لمنع تشغيل البرامج النصية لـ Python تلقائيًا عند النقر عليها. كان هذا إصلاحًا من جانب الخادم، وهو ما سنشرحه في القسم التالي

"الشائعات حول وجود ثغرات أمنية في Telegram Desktop غير دقيقة. وأوصى بعض "الخبراء" بـ "تعطيل التنزيلات التلقائية" على Telegram - لم تكن هناك مشكلات يمكن أن تنشأ عن التنزيلات التلقائية.


ومع ذلك، على Telegram Desktop، كانت هناك مشكلة تتطلب من المستخدم النقر فوق ملف ضار أثناء تثبيت مترجم Python على جهاز الكمبيوتر الخاص به. وخلافًا للتقارير السابقة، لم تكن هذه ثغرة أمنية عند النقر صفر ويمكن أن تؤثر فقط على جزء صغير من قاعدة المستخدمين لدينا: أقل من 0.01% من مستخدمينا لديهم لغة Python مثبتة ويستخدمون الإصدار ذي الصلة من Telegram for Desktop.

تم تطبيق إصلاح من جانب الخادم للتأكد من أن هذه المشكلة لم تعد تتكرر، لذلك لم تعد جميع إصدارات Telegram Desktop (بما في ذلك جميع الإصدارات القديمة) تعاني من هذه المشكلة.
سأل BleepingComputer Telegram عن كيفية معرفة البرامج المثبتة على أجهزة Windows الخاصة بالمستخدم، حيث لم يتم ذكر هذا النوع من البيانات في سياسة الخصوصية الخاصة بهم.
يقوم عميل Telegram Desktop بتتبع قائمة امتدادات الملفات المرتبطة بالملفات الخطرة، مثل الملفات القابلة للتنفيذ.

عندما يرسل شخص ما أحد أنواع الملفات هذه في Telegram، وينقر المستخدم على الملف، بدلاً من التشغيل تلقائيًا في البرنامج المرتبط في Windows، يعرض Telegram أولاً التحذير الأمني التالي.

"يحتوي هذا الملف على الامتداد .exe. وقد يضر جهاز الكمبيوتر الخاص بك. هل أنت متأكد من أنك تريد تشغيله؟"، كما جاء في تحذير Telegram.
ومع ذلك، سيتم تشغيل أنواع الملفات غير المعروفة المشتركة في Telegram تلقائيًا في نظام التشغيل Windows، مما يسمح لنظام التشغيل بتحديد البرنامج الذي سيتم استخدامه.


عندما يتم تثبيت Python لنظام التشغيل Windows، فإنه سيتم ربط امتداد الملف .pyzw مع ملف Python القابل للتنفيذ، مما يجعل Python ينفذ البرامج النصية تلقائيًا عند النقر المزدوج على الملف.

الامتداد .pyzw مخصص لـ Python zipapps، وهي برامج Python قائمة بذاتها ومضمنة في أرشيفات ZIP.

كان مطورو Telegram يدركون أن هذه الأنواع من الملفات التنفيذية يجب اعتبارها محفوفة بالمخاطر وأضفوها إلى قائمة امتدادات الملفات القابلة للتنفيذ.

لسوء الحظ، عندما أضافوا الامتداد، ارتكبوا خطأً مطبعيًا، حيث أدخلوا الامتداد باسم "pywz" بدلاً من التهجئة الصحيحة لـ "pyzw".

عندما يتم إرسال هذه الملفات عبر Telegram والنقر عليها، يتم تشغيلها تلقائيًا بواسطة Python إذا تم تثبيتها على نظام Windows.

يسمح هذا بشكل فعال للمهاجمين بتجاوز التحذيرات الأمنية وتنفيذ التعليمات البرمجية عن بعد على جهاز Windows الخاص بالهدف إذا تمكنوا من خداعهم لفتح الملف.

لإخفاء الملف، ابتكر الباحثون استخدام روبوت Telegram لإرسال الملف بنوع mime "video/mp4"، مما يجعل Telegram يعرض الملف كفيديو مشترك.

إذا قام المستخدم بالنقر فوق الفيديو لمشاهدته، فسيتم تشغيل البرنامج النصي تلقائيًا من خلال Python لنظام التشغيل Windows.

المصدر: بوابة الوفد

كلمات دلالية: لنظام التشغیل Windows تلقائی ا فی Telegram

إقرأ أيضاً:

الملف تعثر في عهد وزير الفلاحة السابق.. القضاء يغلق الحدود في وجه مسؤولين عن أكبر مصانع إنتاج الحليب بالجهة الشرقية

زنقة 20 | الرباط

علم موقع Rue20 ، أن ملف الوحدة الصناعية لإنتاج الحليب بمدينة جرسيف يعرف تطورات جديدة.

و بحسب مصادرنا، فإن الوكيل العام للملك لدى محكمة الاستئناف بفاس، أصدر قرارا بمنع الرئيس المدير العام للشركة من مغادرة التراب الوطني وتعميق الابحاث معه.

و خضع المسؤول للإستماع من قبل الشرطة القضائية في محضر رسمي قبل أسابيع وعلى إثر ذلك صدر قرار منعه من السفر الى حين انتهاء التحقيقات.

و يتابع المسؤول المذكور بتهم ثقيلة تتعلق باختلالات مالية تتعلق بتبديد أموال عمومية.

الوحدة الصناعية التي تجاوزت تكلفة إنشائها 60 مليون درهم من المال العام، على مساحة إجمالية قدرت ب 1700 متر مربع، وبسعة 30 طنا يوميا ، شهدت إفلاسا سريعا في الاشهر الاولى لافتتاحها.

النائب البرلماني عن الاقليم سعيد بعزيز ، كان قد أكد أن الوحدة الصناعية “حليب جرسيف” عرفت تعثرا كبيرا قبل إخراجها إلى حيز الوجود، حيث كانت بداية أشغال البناء يوم 17 نونبر 2014، وانتهت رسميا في مطلع سنة 2017، ولم تعط الانطلاقة لعملها في مجال معالجة الحليب وتسويقه إلى غاية يوم 27 مارس 2022.

و تعرض مشروع حليب جرسيف، الذي تم إحداثه للإجهاض في شهوره الأولى، مما طمس رهان تحريك عجلة التنمية الإقنصادية بالإقليم الذي تبلغ كثافته السكانية حوالي 220 ألف نسمة ويضم 10 جماعات ترابية، كما يعتمد رواجه الإقتصادي على الفلاحة بشكل أساسي.

امحمد الفلالي ممثل الغرفة الفلاحية عن إقليم جرسيف ، طالب بفتح تحقيق حول إفلاس الوحدة الصناعية حليب جرسيف محملا المسؤولية للمديرية الجهوية للفلاحة.

عبد الوافي لفتيت، وزير الداخلية، كان قد كشف في جواب عن سؤال للبرلماني عن اقليم جرسيف سعيد بعزيز، أن هذه الوحدة واجهت مباشرة بعد القيام بدورات الإنتاج والتسويق مجموعة من الصعوبات على مستوى التسيير الإداري.

وأكد لفتيت أن أهم الصعوبات التي واجهت هذه الوحدة تتمثل في عدم انسجام المكتب المسير، وغياب التواصل بين أعضائه، إلى جانب امتناع الرئيس السابق للوحدة عن استكمال إجراءات استقالته بتقديم الوثائق والمعطيات الإدارية والمالية لدى الجهات المختصة.

وأشار جواب وزير الداخلية إلى أن هذه الوحدة واجهت أيضاً صعوبات مالية في غياب عنصر التضامن لدى أعضاء الوحدة، وعدم التزام جميع التعاونيات المنضوية تحت لواء المجموعة بتزويد الوحدة بمادة الحليب لأجل خلق القيمة المضافة التي تمكن من تغطية جزء من المصاريف القارة، وعلى الخصوص أداء مستحقات الفلاحين المعنيين.

مقالات مشابهة

  • مستشارة تسائل البكوري في شأن دعم جمعيات المجتمع المدني
  • نتنياهو أمام المحكمة للمرة الـ14 بتهم فساد
  • الملف تعثر في عهد وزير الفلاحة السابق.. القضاء يغلق الحدود في وجه مسؤولين عن أكبر مصانع إنتاج الحليب بالجهة الشرقية
  • نتنياهو يمثل أمام المحكمة للمرة الـ14 للرد على اتهامات الفساد ضده
  • إنفينيكس تعزز تجربة الذكاء الاصطناعي في هواتفها بدمج تقنية DeepSeek-R1
  • وزارة العمل تشارك في اجتماعات مجموعة عمل البريكس حول التشغيل
  • "شئون الحرمين" تطلق التشغيل التجريبي لخدمة التحلل من النسك لأول مرة بالمسجد الحرام
  • استنفار ديبلوماسي لمواجهة التعنت الاسرائيلي ومحاذير خطيرة تتهدد انطلاقة العهد في الملف الجنوبي
  • إنفينيكس تطلق تقنية DeepSeek-R1 في هواتفها الجديدة لتعزيز تجربة الذكاء الاصطناعى
  • واتساب يجعل روابط الملف الشخصي أكثر خصوصية.. تفاصيل