< The deleted user >
0
All posts from < The deleted user >
whotrades7 in whotrades7,

باحث مصري يكتشف ثغرة خطيرة في «فيسبوك»

لندن – «القدس العربي»: اكتشف باحث أمني مصري ثغرة تتيح له اختراق أحد الخوادم الخاصة بشبكة فيسبوك الاجتماعية والإتصال به، وذلك باستخدام ملف مصمم عبر برنامج تحرير النصوص «مايكروسوفت أوفيس وورد».
وأوضح الباحث الأمني، محمد رمضان، أن الثغرة تتيح له اختراق الخادم الخاص برفع ملفات السير الذاتية إلى شركة فيسبوك، وذلك عبر رفع ملف «وورد» يحتوي على كود خبيث بصفحة الوظائف التابعة للشبكة الاجتماعية، والمتاحة عبر الرابط facebook.com/careers.
وأشار إلى أن أي ملف بصيغة (docx) يصمم عبر برنامج «وورد» ويتكون من عدة ملفات xml مضغوطة، والتي يمكن استخدامها لوضع كود لفتح اتصال يمكنه من التحكم في أحد خوادم فيسبوك.
وتمكن الباحث من ربط الخادم المرتبط بصفحة الوظائف التابعة لفيسبوك بخادم آخر تابع له باستخدام الثغرة مما مكنه من التحكم فيه، ومن ثم أبلغ الفريق الأمني للشبكة الاجتماعية بالثغرة لخطورتها.
ونقلت «البوابة العربية للأخبار التقنية» عن رمضان تأكيده أن الثغرة تمكنه بعد التحكم بـ»السيرفر» بالقيام بعدة أمور مثل غلق الخادم أو منعه من العمل، أو تنفيذ هجوم «رفض الخدمة» من الخادم على مواقع أو خوادم أخرى.
وتابع: «أستطيع كذلك قراءة الملفات ذات صيغة xml المخزنة على الخادم المخترق، كما أستطيع قراءة بعض الملفات الأخرى وأسماء المجلدات، بجانب استخدام الخادم في عمل فحص للمنافذ على الشبكة الداخلية لفيسبوك».
وتمكن الباحث الأمني من استخدام الثغرة نفسها في تنفيذ اختراق آخر لخادم أحد المواقع الخاصة بتوفير برمجيات التوظيف، وهو موقع greenhouse.io، والذي تستخدم برمجياته خدمات مثل شبكة «بينترست» الاجتماعية وشبكة مشاركة الفيديو «فيميو».
يشار إلى أن شركة «فيسبوك» قامت بسد الثغرة الأمنية وكافأت الباحث الأمني المصري بمبلغ 6300 دولار، ضمن برنامج «مكافآت الثغرات» الخاص بها، كما تم إدراج رمضان ضمن قائمة شرف «القراصنة الأخلاقيين» الخاصة بشبكة «فيسبوك» لعام 2014.