سیاوش حسین‌زاده

این‌بار نوبت Happy Addons بود. یه حفره Stored XSS با امتیاز 6.4 (CVE-2025-14635) که اجازه می‌ده حتی یک کاربر با سطح دسترسی پایین مشارکت کننده (Contributor)، کدهای مخرب خودش رو توی پارامتر ha_page_custom_js تزریق کنه. نکته مضحک داستان؟ این قابلیت قرار بوده فقط برای Adminها باز باشه، ولی چون Input Sanitization و Output Escaping رو جدی نگرفتن، عملا یه راه میانبر برای Privilege Escalation باز شده.

وقتی توسعه‌دهنده یادش می‌ره خروجی رو اسکیپ کنه، فرقی نداره پلاگینت چقدر کاربر پسنده؛ داری با دست خودت به بقیه اجازه می‌دی روی سایتت Payload اجرا کنن. اگه از این افزونه استفاده می‌کنید، همین الان به نسخه 3.20.4 یا بالاتر آپدیت کنید.

دنیای امنیت هیچ‌وقت از شوخی‌های کلاسیک خسته نمی‌شه. این‌بار نوبت Exim نسخه 4.98 هست که با یک SQL Injection شناسه CVE-2025-26794 آخرای سال ۲۰۲۵ به صدر اخبار برگرده.

داستان از جایی شروع می‌شه که شما برای مدیریت Hints Database سراغ آپشن USE_SQLITE رفته باشید. باگ زمانی تریگر می‌شه که قابلیت ETRN توی ACLها باز باشه و Serialization هم فعال بمونه. اتکر عملا می‌تونه کوئری‌های خودش رو به دیتابیس SQLite تزریق کنه.

شاید بگید کی از ETRN استفاده می‌کنه؟ یا چرا SQLite؟ مشکل اینجاست که در محیط‌های Enterprise، برای پرفورمنس بالاتر، خیلی‌ها از پیش‌فرض‌های قدیمی فاصله می‌گیرن و دقیقا همین‌جاست که Attack Surface جدید ساخته می‌شه.

خروجی دستور exim -bV رو چک کنید. اگه عبارت Using sqlite3 رو توی بخش Hints DB می‌بینید، معطل نکنید و به آخرین نسخه‌ پچ شده مهاجرت کنید. پیچیدگی کانفیگ همیشه بهای امنیتی داره.

ماجرا ترسناک‌تر از یک باگ معمولی توی یک پکیج PIP هست. این آسیب‌پذیری مستقیما توی ماژول استاندارد http.client نشسته؛ یعنی زیربنای urllib3، requests و تقریبا هر چیزی که توی پایتون HTTP Request می‌زنه.

منطق باگ، شاهکاره: وقتی هدر Transfer-Encoding: chunked میاد، کلاینت باید سایز چانک بعدی رو بخونه. اتکر خیلی شیک سایز رو FFFFFFFFFFFFFFFF (۱۶ اگزابایت) اعلام می‌کنه. پایتون بدون هیچ Upper Bound Checkای، این عدد رو تبدیل به Int می‌کنه و تابع _safe_read همون لحظه تلاش می‌کنه این حجم رو از مموری malloc کنه. نتیجه؟ MemoryError یا کرش کامل پروسس (DoS) در کمتر از یک ثانیه.

نکته جالب ماجرا اینه که کاشف باگ، این رو با کمک یک LLM Agent توی کد urllib3 پیدا کرد، ولی ریشه توی Core بود. نکته تلخ؟ CPython حدود یک سال از این باگ خبر داشت ولی پچ نکرده بود. این یعنی امنیت توی Open Source گاهی قربانی اولویت‌بندی‌های عجیب می‌شه.

اگر سرویسی دارید که با دنیای بیرون حرف می‌زنه، منتظر نمونید و پایتون رو به نسخه‌های حاوی فیکس (gh-119451) آپدیت کنید.

باز هم قصه تکراری Improper Input Validation، این بار توی سرویس Enterprise-grade مثل TeamViewer DEX (همون 1E Client سابق). ماجرا سر سرویس NomadBranch.exe هست که سه تا آسیب‌پذیری گرفته. جدی‌ترینش CVE-2025-44016 با نمره 8.8 که عملا یک کلاس درس برای کساییه که فکر می‌کنن صرفا چک کردن Hash برای امنیت کافیه.

مکانیزم حمله جالبه: اتکر که دسترسی شبکه Local داره، Hash یک فایل Valid رو ارائه میده. سرویس Integrity Check رو روی هش انجام میده و تایید می‌کنه، اما اتکر درواقع Payload مخرب رو تزریق می‌کنه. نتیجه؟ سرویس چون به Hash اعتماد کرده، فایل مخرب رو با دسترسی خودش (Service Context) اجرا می‌کنه. یعنی یک Arbitrary Code Execution تمیز و بی دردسر.

کنارش دوتا باگ دیگه هم هست:

۱. باگ DoS که با یک دستور خاص سرویس رو Crash می‌کنه.

۲. باگ CVE-2025-46266 که سرویس رو مجبور می‌کنه دیتا رو به یک IP داخلی دلخواه بفرسته (یه جورایی شبیه SSRF ولی لوکال).

نکته مثبت اینه که NomadBranch به صورت Default غیرفعاله. نکته منفی؟ توی سازمان‌های بزرگ دقیقا برای Content Distribution این سرویس رو Enable می‌کنن. اگر پچ نسخه 25.11 رو نگیرید، ابزار مدیریت سیستم رو تبدیل کردید به ابزار Lateral Movement برای هکر.

امنیت فقط رمزنگاری و فایروال نیست؛ امنیت یعنی به هیچ ورودی‌ای اعتماد نکنید، حتی اگه Hash درستی داشت. سریع‌تر آپدیت کنید.

خیلی‌ها فکر می‌کنن Docker قراره اپلیکیشن رو سریع‌تر کنه، اما واقعیت اینه که داکر یعنی Isolation و Consistency. فرقی نمی‌کنه رو مک‌بوک کد می‌زنی یا سرور اوبونتو، وقتی پکیجت توی کانتینر باشه، Runtime در همه جا یکسانه.

داکر با استفاده از قابلیت‌های Kernel لینوکس مثل Namespaces و Cgroups، منابع رو ایزوله می‌کنه بدون اینکه مثل VM سربار سنگین داشته باشه. Namespaces تعیین می‌کنه که یک پردازش چه چیزهایی رو ببینه (مثل شبکه، فایل‌سیستم و یوزرها)، و cgroups تعیین می‌کنه که اون پردازش چقدر از منابع (CPU و RAM) رو مصرف کنه. برخلاف VM که کل یک سیستم‌عامل رو شبیه‌سازی می‌کنه، داکر مستقیما از هسته سیستم‌عامل میزبان استفاده می‌کنه.

یکی از جذاب‌ترین بخش‌های فنی داکر، Layered File System هست. تصویر یا همون Image داکر از لایه‌های مختلف (Read-only) تشکیل شده. وقتی شما تغییری در کانتینر می‌دید، داکر یک لایه‌ی جدید (Writable) روی لایه‌های قبلی اضافه می‌کنه. این یعنی اگه ۱۰ تا کانتینر از یک Image بیس (مثلا Ubuntu) داشته باشید، داکر فقط یک بار اون لایه بیس رو ذخیره می‌کنه. این یعنی صرفه‌جویی شدید در Storage و سرعت فوق‌العاده در بالا اومدن (Startup Time).

در واقع داکر یک لایه‌ی Abstraction هست که پیچیدگی‌های تنظیمات زیرساخت رو مخفی می‌کنه تا توسعه‌دهنده فقط درگیر کد باشه، نه تنظیمات سیستم‌عامل. داکر به خاطر همین معماری لایه لایه، مفهوم Immutability (تغییرناپذیری) رو به چرخه توسعه آورد. چیزی که یک بار Build شده، در تمام مراحل تست و Production دقیقا همونه.

جلوگیری از Environment Drift و مدیریت راحت Dependencies اصلی‌ترین کاریه که انجام می‌ده. بدون داکر، Scale کردن و مدیریت Microservices یه فاجعه‌ی تموم‌نشدنیه. تکنولوژی‌ای که جلوی اصطکاک بیخود بین تیم‌های Dev و Ops رو بگیره، ارزشش از هزارتا Micro-optimization کدی بیشتره.

از وقتی مایکروسافت رفت سراغ Linux Kernel واقعی توی WSL2، بازی عوض شد. دیگه خبری از ترجمه سنگین System Callها نیست. الان داریم از لایه سبک Hyper-V استفاده می‌کنیم که Performance رو به شدت به Native نزدیک کرده. عملا شما یک توزیع کامل لینوکس رو با کمترین Overhead ممکن کنار ویندوز دارید.

نکته اصلی اینجاست، دسترسی مستقیم به GPU و فایل‌سیستم لینوکس از داخل ویندوز (و برعکس) باعث شده DX یا همون Developer Experience به شدت بالا بره. دیگه لازم نیست برای یه دستور ساده grep یا کار با Docker، کل پروسس‌های سیستم رو فدای سنگینی VMهای قدیمی کنید.

واقعیت اینه که خیلی‌ها به خاطر وابستگی به نرم‌افزارهای خاص یا Workflowهای فعلیشون، نمی‌تونن یا نمی‌خوان کامل به لینوکس کوچ کنن. WSL2 بهترین راهکار برای این دسته است؛ بدون اینکه دنیای ویندوز رو از دست بدید، تمام قدرت اکوسیستم لینوکس رو توی قلب سیستم‌عاملتون دارید.

مارکت تم شیائومی اقیانوسی از نویز بصریه. خیلیا فقط به ظاهر نگاه می‌کنن، اما از لحاظ فنی، یک تم بد یعنی افزایش مصرف RAM و افت Frame Rate توی انیمیشن‌های سیستم. وقتی سراغ بهترین تم های شیائومی می‌رید، باید دنبال تعادل بین زیبایی و Optimization باشید، نه فقط رنگ و لعاب.

اگر دنبال استایل جدید و مدرن هستید، تم Hyper Lore استانداردترین انتخاب برای طرفداران HyperOS است؛ چون روی مینیمالیسم و سریع بودن انیمیشن‌ها تمرکز داره. برای کسانی که آیکون‌های تمیز و هندسی می‌خوان، تم Moby سال‌هاست که در صدر لیست دانلود تم شیائومی قرار داره و امتحانش رو پس داده.

بسیاری از یوزرها هم دنبال شبیه‌سازی سیستم‌عامل‌های دیگه هستن. تم Android 14 برای تجربه خالص گوشی‌های پیکسل و تم OriginOS برای ویجت‌های تعاملی و خاص، بیشترین طرفدار و درصد رضایت رو دارن. اما نکته فنی اینجاست: تم حجیم یعنی Lag موقع جابه‌جایی بین اپ‌ها. حتما چک کنید تم انتخابی از Depth Effect در لاک‌اسکرین پشتیبانی کنه تا ظاهر گوشی واقعا مدرن به نظر برسه.

زیبایی نباید Performance دستگاه رو قربانی کنه. تمی که با Dark Mode هماهنگ نیست یا فونت‌های ناخوانا داره، فقط یک تجربه کاربری (UX) سمی می‌سازه. دنبال کارایی باشید، نه فقط ترندهای لحظه‌ای.

قبلا کل هنر IoT این بود که یک عدد را از سنسور بخونه و روی Dashboard نشون بده. ما فقط کوهی از دیتا (Raw Data) جمع می‌کردیم که هیچ کاربردی نداشت جز اینکه دیتابیس رو سنگین کنه. تهِ هوشمندی سیستم این بود که اگر دما از یک حدی بالاتر رفت، یک SMS بفرسته یا همچین شرط های مشابه.

اما با AI، دیوایس‌ها از حالت گزارش‌گر خارج شدن و شدن تصمیم‌گیر. حالا با Edge AI، پردازش همون‌جا روی خود دستگاه انجام می‌شه. یعنی دوربین یا سنسور منتظر دستور از سرور نمی‌مونه، خودش الگوی خرابی یا خطر رو تشخیص می‌ده و همون لحظه Action می‌گیره.

واقعیت اینه که IoT بدون هوش مصنوعی، فقط یک اتوماسیون گرون‌قیمت و پردردسر بود. با AI تازه داریم به معنای واقعی Autonomous Systems یا سیستم‌های خودگردان نزدیک می‌شیم.

این مدل Arbitrage امروز که همه به قیمت‌های ترب و ایمالز دسترسی دارن، نفس‌های آخرش رو می‌کشه. اگه دنبال ایده هستی، به جای گشتن دنبال محصول، دنبال یه Niche (گوشه بازار) بگرد که نادیده گرفته شده. برنده اونی نیست که همه چی می‌فروشه، اونیه که برای یه گروه خاص، بهترین تجربه کاربری رو می‌سازه. مثلا به جای "فروشگاه لوازم ورزشی"، بشو "مرجع تخصصی تجهیزات ریکاوری برای دونده‌ها".

توی لایه فنی هم، تمرکز رو از ویترین اینستاگرام ببر سمت Retention و دیتای مشتری. بیزینسی که ندونه مشتریش کی دوباره برمی‌گرده، فقط داره برای اینستاگرام و تبلیغاتچی‌ها پول چاپ می‌کنه. آینده متعلق به Micro-brandهایی هست که روی Operations و وفاداری مشتری سرمایه‌گذاری می‌کنن، نه فقط ویترین‌های پر زرق‌وبرق.

بازار سخت‌افزار داره یه تغییر ساختاری و ترسناک رو تجربه می‌کنه. غول‌های هوش مصنوعی برای زنده موندن به حافظه نیاز دارن و دارن مثل جاروبرقی تمام ظرفیت تولید RAM و HBM رو از بازار جمع می‌کنن. وقتی از Training مدل‌های بزرگ حرف می‌زنیم، بحث دیگه سر چند گیگابایت نیست؛ دیتاسنترها دارن کل خروجی کارخونه‌ها رو پیش‌خرید می‌کنن. این یعنی خط تولیدهایی که قبلا برای گوشی و لپ‌تاپ من و شما قطعه می‌ساختن، حالا دارن برای سرورهای AI کار می‌کنن چون حاشیه سودش خیلی بالاتره.

اما چرا شرکت‌ها تولید رو سریع بالا نمی‌برن؟ چون ساخت یه Fab (کارخونه تولید چیپ) یه پروژه ۱۰ میلیارد دلاریه که حداقل ۳ تا ۵ سال زمان می‌بره. علاوه بر این، تولیدکننده‌ها یه ترس قدیمی دارن که بهش می‌گن PTSD سال ۲۰۱۸. اون زمان همگی با هم تولید رو زیاد کردن، بازار اشباع شد، قیمت‌ها ناگهانی سقوط کرد و همشون میلیاردها دلار ضرر دادن. الان ترجیح می‌دن بازار تشنه بمونه و قیمت‌ها بالا باشه، تا اینکه ریسک تولید اضافه رو قبول کنن.

خلاصه اینکه ما وارد عصر قحطی RAM شدیم. تقاضای AI بی‌نهایته، عرضه به شدت قطره‌چکانی و محتاطانه. اگه قصد ارتقای سیستم یا خرید لپ‌تاپ دارید، منتظر ارزونی نباشید. تو این جنگ تقاضا، یوزر معمولی آخرین اولویت برای زنجیره تامینه.