2004208294886110954325409063536887128329624670425385324432245973212528005025830060231069210172575973800025421858557245242000716169297327861555

Lenovo عيوب خطيرة في أداة تحديث نظام الكمبيوتر


السلام عليكم ورحمة الله

مرحبا بمتابعي مدونة المصمم للمعلوميات في أخبار أمنية jقنية جديدة والتي سنتطرق من خلالها الى شرح ثغرة في اداة lenova

للمرة الثالثة خلال أقل من ستة أشهر القضايا الأمنية قد أجبرت لينوفو لتحديث واحدة من الأدوات التي تم تحميلها مسبقاً على أجهزة الكمبيوتر.

في الأسبوع الماضي، أصدرت الشركة النسخة 5.07.0019 من لينوفو  'تحديث النظام'، أداة أن يساعد المستخدمين في الحفاظ على برامج تشغيل أجهزة الكمبيوتر الخاصة بهم والسير حتى الآن، والذي كان يسمى سابقا 'تحديث النظام ThinkVantage'.

واحدة من نقاط الضعف الموجودة في مساعدة نظام الأداة ويسمح للمستخدمين الذين لديهم حسابات Windows محدودة لبدء تشغيل مثيل من برنامج Internet Explorer مع امتيازات المسؤول بالنقر فوق Url في صفحات المساعدة. وهذا بسبب تحديث نظام لينوفو نفسها تشغيل تحت حساب مسؤول مؤقت الذي ينشئ التطبيق عند التثبيت، حيث سيتم تشغيل أي عملية فإنه يولد تحت نفس الحساب.

ويرتبط عدم الحصانة الثانية أيضا على حساب المسؤول المؤقت ولا سيما الطريقة التي يتم إنشاؤها بالاسم وكلمة المرور.

يتبع اسم المستخدم tvsu_tmp_xxxxxXXXXX النمط، حيث كل حرف x رسالة حالة الأدنى عشوائياً وكل X حرف الأحرف عشوائياً. ومع ذلك، يرتبط الدالة التي من المفترض أن اختيار عشوائي الأحرف الوقت الحالي، مما يجعل إنتاجها يمكن التنبؤ بها.

فلهدا فمن الممكن للمهاجمين لإعادة إنشاء نفس اسم المستخدم استناداً إلى وقت إنشاء الحساب'.

فلهدا يمكن أن نقول توجد طريقتين لتخمين كلمة المرور و اسم المستخدم، واحدة آمنة وواحدة احتياطية التي هي أيضا قابلة للتنبؤ. وهذا يعني أنه في بعض الحالات يمكن أن مهاجم تخمين كل من اسم المستخدم وكلمة المرور والحصول على امتيازات إدارية.

تحديث النظام لينوفو تلقي اثنين تصحيحات أمان أخرى هذه السنة: واحدة في يوليو و أخرى في أكتوبرد. تلك التحديثات لإصلاح الثغرات الأمنية التي يمكن أن يسمح للمهاجمين لتنفيذ الأوامر من خلال التطبيق أو لاستبدال التحديثات المشروعة مع البرامج الضارة.

من هنا نكون قد وصلنا لنهاية الشرح , في أمان الله الى الشرح المقبل
تعليقات فيسبوك
0 تعليقات بلوجر

ليست هناك تعليقات:

إرسال تعليق

إتصل بنا

الإسم الكريم البريد الإلكتروني مهم الرسالة مهم
كافة الحقوق محفوظةلـ مدونة مابرو للمعلوميات 2016 / تصميم : آر كودر