مطالب پربازدید

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

1404/07/21 - 09:36- جنگ سایبری

ویژه‌نامه تحلیلی طوفان‌الاقصی سایبری؛ روایتی از نبرد میان حامیان غزه و رژیم صهیونیستی

ویژه‌نامه تحلیلی طوفان‌الاقصی سایبری که به مناسبت دومین سالگرد عملیات طوفان‌الاقصی‌ منتشر شده است؛ روایتی از نبرد سایبری میان حامیان‌غزه و رژیم صهیونیستی و هم‌پیمانانش است.

انتشار شده در تاریخ 1394/02/02 - 14:29

آسیب پذیری hiphop virtual machine

ماشین مجازی هیپ‌هاپ یک ماشین مجازی مبتنی بر کامپایل درجا است که به‌عنوان موتور اجرایی پی‌اچ‌پی و زبان برنامه‌نویسی هک عمل می‌کند. با استفاده از مفهوم کامپایل درجا کدهای اجراشده پی‌اچ‌پی یا هک در ابتدا به بایت‌کد هیپ‌هاپ تبدیل می‌شوند که به‌صورت پویا به کد ماشین معماری اکس۸۶-۶۴ تبدیل می‌شود، بهینه‌سازی‌شده و به‌صورت بومی اجرا می‌شود. این بر خلاف اجرای تفسیری است که طی آن موتور زند (Zend Engine) کدهای مبدأ پی‌اچ‌پی را به آپ‌کد به‌عنوان قالبی از کد میانی تبدیل می‌کند و آپ‌کدها را به‌صورت مستقیم در پرداشگر ماشین مجازی موتور زند اجرا می‌کند.

در برنامه‌نویسی، سرریز عدد صحیح هنگامی رخ می‌دهد که نتیجه یک عمل محاسباتی مقدار عددی بزرگی است که از محدوده مجاز قابل پردازش فراتر است. مثلاً افزودن عدد ۱ به بزرگ‌ترین عدد قابل نمایش سبب این نوع سرریز می‌شود، و معمول‌ترین نتیجه‌ای که سیستم بروز می‌دهد کوچک‌ترین عدد قابل نمایش است ( به این رخداد اصطلاحاً wraparound می‌گویند). در برخی پردازشگرها مثل واحد پردازشگر گرافیکی و پردازشگر سیگنال دیجیتال نتیجه به اشباع رسانده می‌شود، یعنی وقتی به بزرگترین عدد برسیم، نتیجه تلاش برای بزرگتر کردن آن، برگردانده شدن همان بزرگترین عدد قابل نمایش است. طبق استاندارد ایزو سی۹۹ سرریز عدد صحیح سبب رفتار تعریف‌نشده می‌شود، این یعنی کامپایلرها می‌توانند کاملاً آن را نادیده بگیرند یا حتی برنامه را متوقف کنند. اغلب کامپایلرها از این مشکل چشم‌پوشی می‌کنند، و نتیجه‌ای غیرمنتظره یا غلط برمی‌گردانند. سرریز عدد صحیح می‌تواند در حالاتی به سرریز بافر منجر شود. این محصول دارای آسیب پذیری های چندگانه می باشد.

آسیب پذیری CRLF injection در اجرای پروتکل LightProcess در hphp/util/light-process.cpp که در ماشین مجازی هیپ هاپ در فیس بوک استفاده شده است، وجود دارد. این آسیب پذیری به مهاجمان اجازه می‌دهد که از راه دور بوسیله دستورات دلخواه از طریق کاراکتر a \n (به معنی ایجاد خط جدید) قبل از پایان string، حمله را انجام دهد.

از طرفی آسیب پذیری Integer overflow هم در تابع string_chunk_split در hphp/runtime/base/zend-string.cpp که در ماشین مجازی هیپ هاپ در فیس بوک استفاده شده است، وجود دارد. این آسیب پذیری به مهاجمان اجازه می دهد که از راه دور از طریق اجرای تابع chunk_split، موجب شوند تا سیستم DoS کند (application crash رخ دهد). این حمله ممکن است تاثیرات ناشناخته دیگری نیز داشته باشد.

محصولات زیر به عنوان محصول آسیب پذیر گزارش شده اند.