نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: کشف 3 باگ امنیتی 0day در PHP ورژن 7 ( php 7 )

  1. January 11th, 2017, 16:50 #1
    IrIsT
    IrIsT آنلاین نیست.
    عضو انجمن
    تاریخ عضویت
    Nov 2012
    نوشته ها
    522
    تشکر تشکر کرده 
    608
    تشکر تشکر شده 
    585
    تشکر شده در
    432 پست
    IrIsT به Yahoo ارسال پیام

    Lightbulb کشف 3 باگ امنیتی 0day در PHP ورژن 7 ( php 7 )

    سه آسیب‌پذیری 0day در PHP ۷ کشف شده و به مهاجمان اجازه می‌دهد کنترل نزدیک به ۸۰ درصد از وب‌گاه‌ها را در دست بگیرند. این وب‌گاه‌ها از آخرین نسخه‌ی زبان برنامه‌نویسی PHP استفاده می‌کنند.
    این آسیب‌پذیری‌ها در سازوکارِ غیرسریال این زبان برنامه‌نویسی کشف شده است و به نفوذگران اجازه می‌دهد با ارسال داده‌های جعلی و مخرب در کوکی‌های کارخواه، وب‌گاه‌های دروپال، جوملا، Magento و vBulletin را آلوده کنند.
    محققان امنیتی گروه چک‌پوینت چندین ماه سازوکار غیرسریال PHP ۷ را مورد بررسی قرار داده و ۳ آسیب‌پذیری جدید و ناشناخته را در آن پیدا کردند. هرچند در این سازوکار در PHP ۵ نیز قبلاً آسیب‌پذیری‌هایی وجود داشت ولی محققان اشاره کردند که این آسیب‌پذیری‌ها با آسیب‌پذیری‌های قبلی متفاوت هستند.

    این سه آسیب‌پذیری روز-صفرم با شناسه‌ی CVE-۲۰۱۶-۷۴۷۹ ،CVE-۲۰۱۶-۷۴۸۰ و CVE-۲۰۱۶-۷۴۷۸ مشابه آسیب‌پذیری که چک‌پوینت در شهریور ماه کشف کرد، قابل بهره‌برداری است.

    آسیب‌پذیری CVE-۲۰۱۶-۷۴۷۹ یک اجرای کد و آسیب‌پذیری استفاده پس از آزادسازی۱ است. آسیب‌پذیری دوم با شناسه‌ی CVE-۲۰۱۶-۷۴۸۰ اجرای کد با استفاده از یک متغیر است که مقداردهی اولیه نشده است. آسیب‌پذیری CVE-۲۰۱۶-۷۴۷۸ نیز یک منع سرویس از راه دور است. دو آسیب‌پذیری اول اگر مورد بهره‌بردرای قرار بگیرند، به مهاجم اجازه می‌دهند کنترل کامل کارگزار را در دست گرفته و اجازه‌ی انجام هرکاری از جمله نصب بدافزار را داشته باشد. این بدافزارها می‌توانند داده‌های مشتریان را به سرقت برده و ظاهر وب‌گاه را تغییر دهند.

    محققان در گزارش خود توضیح دادند که آسیب‌پذیری سوم نیز برای اجرای یک حمله‌ی منع سرویس می‌تواند مورد بهره‌برداری قرار بگیرد. از این طریق مهاجمان می‌توانند باعث کُند شدن و مصرف بیش از حد حافظه‌ی این وب‌گاه شوند. محققان اشاره کردند هیچ یک از این آسیب‌پذیری‌ها در دنیای واقعی توسط نفوذگران مورد بهره‌برداری قرار نگرفته است.

    تیم امنیتی , تیم اکسپلویت , تیم تحقیقاتی و تیم هکری Iedb.Ir
    پاسخ با نقل قول پاسخ با نقل قول

  2. تعداد تشکر ها ازIrIsT به دلیل پست مفید

    k-h, zigma4000
  3. January 11th, 2017 16:50 # ADS




     
« موضوع قبلی | موضوع بعدی »

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. دنبال سایتی هستم که بتونم همزمان تعداد بالایی دامنه اتوریتی شون رو چک کنم
    توسط iroo در انجمن سوالات و مشکلات
    پاسخ ها: 0
    آخرين نوشته: November 12th, 2017, 00:26
  2. Vbulletin Cms (Sendmessage.php Page) 0Day Exploit
    توسط IrIsT در انجمن vBulletin
    پاسخ ها: 4
    آخرين نوشته: April 13th, 2016, 16:06
  3. فرق ویندوز 2008 64 بیتی با 32 بیتی روی سرور خیلی زیاد است؟
    توسط ghazal در انجمن سوالات و مشکلات
    پاسخ ها: 6
    آخرين نوشته: July 4th, 2010, 10:53

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن