ثغرة Zero-Day في نظام Bugzilla الشهير

تم اكتشاف ثغرة من نوع Zero-Day في البرنامج الشهير Bugzilla الذي تنتجه شركة Mozilla و الذي يستخدم في متابعة الأخطاء البرمجية التي تواجه البرامج التي يتم تطويرها في مئات شركات البرمجة و المنظمات حول العالم. كل من النسختين المدفوعة و المجانية يمكن استغلالها من قبل المخترقين للحصول على معلومات حساسة من قبلهم حول المشاريع البرمجية لهذه الشركات.

هذه الثغرة تسمح للمخترقين بتجاوز عملية التأكيد على البريد الإلكتروني أثناء عملية التسجيل في حساب جديد على هذا البرنامج, مما يعني بأنه يمكن للمخترق استخدام أي بريد الكتروني في عملية التسجيل بدون الرجوع للبريد الوارد لتفعيل الحساب, بعد ذلك يمكن للمخترق رفع صلاحياته من مستخدم عادي لنوع أعلى بصلاحيات أكبر. بعد اكتشاف هذه الثغرة تم إعطائها رمز خاص بها (CVE-2014-1572) , و هذه الثغرة هي الأولى من نوعها التي ظهرت في هذا البرنامج منذ اصداره الأول عام 2002.

هذه الثغرة تم اكتشافها من قبل باحثين امنيين في شركة Check Point حيث تسمج الثغرة لأشخاص مجهولين التسجيل في النظام و رفع صلاحياتهم للوصول لدرجة مدير للنظام و الإطلاع و التعديل و التحكم على بيانات حساسة حول المشاريع البرمجية في الشركة.

يذكر بأن هذا النظام (Bugzilla) هو تطبيق ويب يستخدم بشكل عام في تتبع الأخطاء البرمجية التي تظهر في المشاريع البرمجية الكبيرة و هو مستخدم من قبل شركات كبيرة و تم اصداره من قبل شركة Mozilla . و يستخدم أيضا من قبل شركات و منظمات Mozilla, Apache, Linux Kernel, OpenSSH, Eclipse و غيرها من الشركات و المنظمات المعروفة.

تم اكتشاف الثغرة من قبل Check Point و ابلاغ شركة Mozilla به في نهاية شهر ايلول الماضي و تم اصدار سد أمني لهذه الثغرة قبل عدة أيام.

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

17 − two =