DEBUGSAGE
مصحح أخطاء البرمجيات والبرامج الثابتة
الملف المهني
ديباغ ساج أحد أفضل مصححي الأخطاء الأحياء. يصلح العلل في الأنظمة شديدة الحساسية من الطبية إلى الفضائية.
المهارات الأساسية
أدوات تصحيح أخطاء متقدمة؛ تحليل البرامج الثابتة؛ التصحيح الساكن/الديناميكي؛ أمن التطبيقات؛ تحليل الأعطال في الأنظمة الحرجة
أبرز الإنجازات
أصلح خللًا تسبب في تجميد نظام طبي مستخدم في 22 مستشفى.
مقالات بقلم DEBUGSAGE
When the First Trust Anchor Moves: Usbliter8 Puts iPhone Boot Security Under a Microscope
A newly disclosed physical exploit aims at the earliest stage of iPhone startup, where immutable boot code decides what the device will trust next.
يرى الفاحص الشرخ، لكنه لا يرى الاختراق
يمكن للاختبار الآلي أن يرسم خريطة الثغرات على نطاق واسع، لكن القرار الأهم لا يزال بشريًا: هل تتحول النتيجة إلى مسار حقيقي للاختراق؟
أسماء موثوقة، شيفرة غير موثوقة: حيلة السجل وراء ثغرة في سلسلة توريد الإضافات
أدى فشل في ضبط النطاق داخل فهرس إضافات إلى إظهار كيف يمكن لمساحة أسماء مألوفة أن تمنح شيفرة جهة خارجية مظهر التكامل الرسمي.
عندما تتحول أدوات التخزين إلى اختصارات لرفع الصلاحيات
ثلاث ثغرات Windows عالية الخطورة في منتجات AOMEI تضع برامج تشغيل النواة، والوصول المحلي، ومخاطر مستوى SYSTEM في إطار واحد.
Ghost Frames يحوّل ذاكرة نقطة النهاية الخاصة بها عن نفسها إلى الحلقة الأضعف
أسلوب مُبلّغ عنه للتلاعب بمكدس الاستدعاءات يضع ضغطا نادرا من نوعه على EDR: إذا أمكن جعل المكدس يبدو طبيعيا، فقد تصبح إحدى أفضل إشارات السياق لديه أقل فائدة.
المهاجمون وجدوا الفجوات الهادئة بين مكدسات ويندوز وعين EDR
تقنية جديدة تركز على ويندوز تضع الكشف القائم على تتبع مكدس الاستدعاءات تحت الضغط وتوضح لماذا تحتاج حماية نقاط النهاية إلى أكثر من خط رؤية واحد.
تشديد GitHub لخط السحب بين الراحة والثقة
يأتي إصدار جديد من actions/checkout بإعدادات افتراضية أكثر أمانًا لسير عمل pull_request_target، وهو تغيير صغير لكن دلالته كبيرة لأمن CI.
عندما تتحول سوار اللياقة إلى مختبر للبرامج الثابتة
تلقي نظرة قريبة على Mi Band 10 الضوء على سبب انجذاب الأجهزة القابلة للارتداء المرتبطة بتطبيقات والمزودة بشريحة مدمجة إلى الباحثين في الهندسة العكسية: القصة الحقيقية ليست الشاشة، بل سلسلة البرمجيات الكامنة تحتها.
أصغر خطوة يمكن أن تحول الوصول إلى سيطرة
تصعيد الامتيازات ليس أول خطوة في الاختراق، لكنه غالبا ما يكون الخطوة التي تحول الوصول المحدود إلى موقع أكثر خطورة بكثير.
يفتح طبقة الذكاء الاصطناعي في SQL Server 2025 مسارًا جديدًا لسرقة البيانات بهدوء
تتضمن قاعدة بيانات مايكروسوفت الآن بنية تحتية موجهة للذكاء الاصطناعي لسير عمل من نمط RAG، وقد أظهر باحثون أن الآلية نفسها يمكن توجيهها نحو تسريب البيانات الحساسة وحركة أوامر خفية.
عندما تصبح النواة غرفة التحكم، يصبح eBPF درعًا وظلًا في آن واحد
تنتقل حماية لينكس بشكل متزايد إلى عناصر تحكم وقت التشغيل المدعومة بـ eBPF، لكن الطبقة ذات الامتياز نفسه قد تصبح أيضًا مكانًا للاختباء إذا تمكن المهاجم من الوصول إلى المضيف.
عندما تُطفأ السجلات: المهاجمون السحابيون يحوّلون مسارات التدقيق إلى هدف
من المفترض أن تحفظ السجلات السحابية الأدلة، لكن إساءة استخدام طبقة التحكم يمكن أن تجعل من تلك الأدلة أول ما يحاول الدخيل إسكاتَه.
عندما يختفي دفتر السجلات: تصبح مسارات تدقيق السحابة الهدف الجديد
تشير نتيجة بحثية من أحد الموردين إلى تحول مقلق في هجمات السحابة: فبدلاً من سرقة البيانات فقط، قد يحاول المتسللون أيضاً إضعاف القياسات التي يعتمد عليها المدافعون.
شخصية أمنية مخضرمة تعيد صياغة ماضي البرمجيات الخبيثة كقصة أصل مهني
منشور في 17 يونيو 2026 يضم فيديو على يوتيوب يسلّط الضوء على نير زوك، الشريك المؤسس لشركة بالو ألتو نتوركس، بسبب ارتباط مبكر يصفه بنفسه بتطوير الفيروسات - تذكير بأن تاريخ الأمن السيبراني يمكن أن يشكّل نظرة المجال إلى المصداقية والمخاطر والحكم التقني.
الاقتصاد الهادئ للاختراق: كيف أصبحت قصة مكافآت الثغرات إشارة أمنية
إن ملف إسيرا أديثيا يذكّر بأن أبحاث الثغرات ليست مجرد فضول تقني - ففي بعض الحالات، يمكن أن تتحول إلى مسار مهني عملي له أثر مالي حقيقي.
تحديث DPAPISnoop يحول سجل كلمات مرور ويندوز إلى أهداف أوضح للاختبار دون اتصال
يضيف إصدار جديد دعم CREDHIST إلى أداة استرداد مفتوحة المصدر لويندوز، مما يعزز سير عمل قد يكون مهمًا في الاختبار المصرح به، والاستجابة للحوادث، والتحليل العملي لما بعد الاستغلال.
تواجه Apple Silicon شكًا جديدًا على طريقة Spectre
تدفع ادعاءة بحثية جديدة حول سلوك Apple M1 إلى إعادة فتح درس أمني قديم: يمكن للشرائح السريعة أن تُسرّب البيانات عبر التنفيذ التكهني، حتى عندما تبدو المنصة شديدة الإحكام.
عندما تبدأ الذكاء الاصطناعي بمطاردة أخطاء واجهات API، تصبح مكافآت اكتشاف الثغرات باهظة للغاية
يقال إن تشغيل باحث لعملية fuzzing بمساعدة الذكاء الاصطناعي كشف عن ثغرات خطيرة في التحكم بالوصول ضمن واجهات API الموجهة إلى خدمات Google، ما يوضح كيف تعيد الأتمتة تشكيل كل من الاختبارات الهجومية والهندسة الدفاعية.
الفشل الصامت الذي يحول البرمجيات إلى سطح هجوم
عندما يتوقف الاختبار عند سؤال "هل يعمل؟"، يمكن للعيوب الخفية والتبعيات المحفوفة بالمخاطر وأدوات التحكم الضعيفة أن تبقى حتى مرحلة الإنتاج، ما يرفع احتمالات الاختراق والتوقف عن العمل والإصلاحات الطارئة المكلفة.
عندما يلتقي الكود المسرَّب بوكلاء الذكاء الاصطناعي، تبدأ مساحة الهجوم في التفكير من جديد
تلقي جولة هذا الأسبوع الأمنية الضوء على مشكلة أشد من ضجيج البرمجيات الخبيثة المعتاد: تسريبات للكود الهجومي، وتصيد يستهدف الوكلاء، وأتمتة سير العمل التي يمكن دفعها نحو الفعل الخطأ.