Webtagr - ملخصات الأخبار التكنولوجية

عقد من استغلالات إلغاء تسلسل Ruby Marshal: التاريخ والمسار إلى الأمام

2025-08-24

تتناول هذه المقالة ملحمة استمرت عقدًا من الزمن تتعلق بثغرات أمان إلغاء تسلسل Ruby Marshal. يتتبع المقال التطور من تقارير الأخطاء الأولية في عام 2013 إلى أحدث تقنيات الاستغلال في عام 2024، وكشف عن لعبة القط والفأر المستمرة بين باحثي الأمن والمهاجمين. يبرز الكاتب حدود النهج القائم على التصحيح فقط، ويدعو إلى إلغاء استخدام وحدة Marshal تدريجيًا لصالح بدائل أكثر أمانًا، بهدف القضاء على هذا التهديد الأمني المتكرر.

اقرأ المزيد

(blog.trailofbits.com)

التطوير أمن Ruby ثغرة أمان إلغاء التسلسل

هجمات تغيير حجم الصور: ثغرة أمنية جديدة في أنظمة الذكاء الاصطناعي

2025-08-21

اكتشف الباحثون ثغرة أمنية جديدة في أنظمة الذكاء الاصطناعي: يمكن تحقيق سرقة البيانات عن طريق إرسال صور تبدو غير ضارة إلى نماذج اللغات الكبيرة (LLMs). يستغل المهاجمون حقيقة أن أنظمة الذكاء الاصطناعي غالبًا ما تقوم بتغيير حجم الصور قبل معالجتها، عن طريق تضمين حقن مطالبات ضارة في النسخة المصغرة التي تكون غير مرئية في الدقة الكاملة. يسمح هذا بتجاوز وعي المستخدم والوصول إلى بيانات المستخدم. تم إثبات الثغرة الأمنية في العديد من أنظمة الذكاء الاصطناعي، بما في ذلك Google Gemini CLI. طور الباحثون أداة مفتوحة المصدر تسمى Anamorpher لإنشاء وتحليل هذه الصور المصممة، ويوصون بتجنب تغيير حجم الصور في أنظمة الذكاء الاصطناعي أو تزويد المستخدمين بمعاينة للصورة التي يعالجها النموذج بالفعل لتقليل المخاطر.

اقرأ المزيد

(blog.trailofbits.com)

الذكاء الاصطناعي تغيير حجم الصور

استغلال أجهزة الشبكة التي انتهت صلاحيتها: الفوز في مسابقة Junkyard

2025-07-29

حقق الباحثون المركز الثاني في مسابقة Junkyard التي أقامتها DistrictCon من خلال استغلالهم الناجح لجهازين شبكة منتهية الصلاحية: جهاز توجيه Netgear WGR614v9 وجهاز BitDefender Box V1. سلطت سلاسل الاستغلال الخاصة بهم الضوء على المخاطر الأمنية المستمرة للأجهزة التي انتهت صلاحيتها (EOL)، حيث تظل الثغرات الأمنية غير المُصلحة قابلة للاستغلال حتى بعد توقف دعم الشركة المصنعة. وقد فصل الباحثون العديد من الثغرات الأمنية، بما في ذلك تجاوزات المصادقة، وامتلاءات المخزن المؤقت، وحقن الأوامر، مما أدى إلى الوصول إلى الصلاحيات الجذرية عن بُعد على كلا الجهازين. تُبرز هذه الأبحاث أهمية مراعاة دورات حياة دعم الشركة المصنعة وخيارات البرامج الثابتة المجتمعية عند اختيار الأجهزة، وتسلط الضوء على التحديات الأمنية المستمرة التي تُطرحها أجهزة إنترنت الأشياء EOL.

اقرأ المزيد

(blog.trailofbits.com)

التكنولوجيا الاستغلال

مخاطر أمنية في مُحللات Go: استغلال السلوكيات غير المتوقعة في JSON و XML و YAML

2025-06-21

تُشكّل مُحللات JSON و XML و YAML في Go مخاطر أمنية، مما يسمح للمهاجمين باستغلال السلوكيات غير المتوقعة لتجاوز عملية المصادقة، وتجنب السلطات، واستخراج البيانات الحساسة. تُفصّل هذه المقالة ثلاثة سيناريوهات للهجوم: (1) فكّ/ترميز البيانات غير المتوقعة: الكشف عن البيانات التي كان يعتزم المطورون إبقاؤها سرية؛ (2) اختلافات المُحللات: الاختلافات بين المُحللات تُمكّن من تجاوز ضوابط الأمان؛ و (3) لبس تنسيق البيانات: استغلال معالجة أحمال البيانات عبر التنسيقات. تتضمن الحلول المُتاحة استخدام `DisallowUnknownFields` ووظائف مخصصة لتعويض الثغرات الأمنية في مكتبة Go القياسية.

اقرأ المزيد

(blog.trailofbits.com)

التطوير أمن Go

مفاتيح المرور: ثورة التشفير في المصادقة

2025-05-14

يتناول هذا المقال تقنية التشفير الكامنة وراء مفاتيح المرور، موضحًا كيفية استخدامها لأزواج المفاتيح لإنشاء توقيعات رقمية دون نقل معلومات حساسة إلى الخوادم، مما يمنع بذلك التصيد الاحتيالي وإعادة استخدام كلمات المرور. تعمل مواصفات WebAuthn على تحسين الأمان من خلال ربط المصدر، مما يضمن استخدام مفاتيح المرور على الموقع الإلكتروني الصحيح فقط. يتم استعراض أنواع مختلفة من مُصادِقات الهوية، بالإضافة إلى كيفية استخدام ملحقات WebAuthn لإنشاء وتخزين مفاتيح التشفير. كما يتم مناقشة التهديدات المحتملة، مثل هجمات المتصفح ومصادقات الهوية المُخترقة، بالإضافة إلى استراتيجيات التخفيف. على الرغم من أنها ليست حلًا مثاليًا، إلا أن مفاتيح المرور توفر أمانًا محسنًا بشكل ملحوظ وتمثل مستقبلًا واعدًا للمصادقة.

اقرأ المزيد

(blog.trailofbits.com)

التكنولوجيا

مستودع PyPI: مجموعة اختبارات أسرع بنسبة 81٪ من خلال تحسينات بسيطة

2025-05-12

حسّنت Trail of Bits بشكل كبير أداء مجموعة اختبارات مستودع PyPI، حيث خفضت وقت التنفيذ من 163 ثانية إلى 30 ثانية، مع زيادة عدد الاختبارات من 3900 إلى أكثر من 4700. تم تحقيق هذه التحسينات التي بلغت نسبتها 81٪ من خلال عدة تحسينات رئيسية: موازاة تنفيذ الاختبارات باستخدام pytest-xdist، واستخدام sys.monitoring في Python 3.12 لقياس التغطية بكفاءة، وتحسين اكتشاف الاختبارات، وإزالة الاستيرادات غير الضرورية. هذه التقنيات قابلة للتطبيق بسهولة على العديد من مشاريع Python التي تعاني من مجموعات اختبارات بطيئة، مما يوفر مكاسب كبيرة في الأداء بتكلفة ضئيلة.

اقرأ المزيد

(blog.trailofbits.com)

التطوير تحسين الاختبارات

واجهة برمجة التطبيقات ASN.1 الجديدة من PyCA Cryptography: السرعة والأمان

2025-04-18

يقوم فريق PyCA Cryptography بتطوير واجهة برمجة تطبيقات ASN.1 جديدة تستخدم محللًا نقيًا بلغة Rust لتحسين الأداء بشكل كبير وتقليل المخاطر الأمنية الناتجة عن الاختلافات مع محاللات ASN.1 الأخرى. كما تتميز واجهة برمجة التطبيقات الجديدة بواجهة برمجة تطبيقات على غرار dataclasses لتحسين قابلية قراءة التعليمات البرمجية وصيانتها. هذا يعالج أوجه القصور في مكتبات ASN.1 الموجودة في Python فيما يتعلق بالأداء والأمان، ويدعم بشكل أفضل النظم البيئية الناشئة مثل Sigstore.

اقرأ المزيد

(blog.trailofbits.com)

التطوير

سرقة عملات مشفرة بقيمة 1.5 مليار دولار: هجوم متطور يكشف عن ثغرات في أمن التشغيل

2025-02-22

في 21 فبراير 2025، تعرضت بورصة Bybit لأكبر عملية سرقة عملات مشفرة في التاريخ، حيث بلغت الخسائر حوالي 1.5 مليار دولار. لم يستغل المهاجمون ثغرات في عقود الذكاء الاصطناعي، بل قاموا باختراق أجهزة العديد من الموقعين باستخدام برامج ضارة متطورة من أجل التلاعب بواجهات محافظهم والحصول على توقيعاتهم دون علمهم. تشير التحقيقات إلى جهات فاعلة مدعومة من الدولة الكورية الشمالية (مثل TraderTraitor و Jade Sleet)، الذين استخدموا هندسة اجتماعية متقدمة لاستهداف موظفين رئيسيين ونشر مجموعة أدوات متعددة المنصات. هذا يبرز الخطر الكبير المتمثل في إهمال أمن التشغيل، مع التأكيد على أهمية أنظمة التوقيع المعزولة، والمصادقة متعددة العوامل، والتدريب المنتظم على الأمن. من المرجح أن تستمر هجمات مماثلة ما لم تعمل شركات العملات المشفرة على تحسين ممارسات أمن التشغيل بشكل كبير.

اقرأ المزيد

(blog.trailofbits.com)

التكنولوجيا هاكرز كوريا الشمالية أمن التشغيل