در پی ناتوانی مایکروسافت در رفع نقصی امنیتی؛

گوگل باز هم آبروی مایکروسافت را برد

|
۰ دیدگاه
شناسایی حفره امنیتی مایکروسافت توسط گوگل

در پی ناتوانی مایکروسافت در رفع یک نقص در ویندوز، گوگل به صورت عمومی آن را افشاء کرد.پس از این که مایکروسافت در رفع یک آسیب پذیری در ویندوز با شکست مواجه شد، گوگل یک بار دیگر با افشای عمومی آن مایکروسافت را شوکه کرد.

به گزارش کلیک، از این غول فناوری شهر ردمونت انتظار می رفت تا یک آپدیت امنیتی در Patch Tuesday (ارائه آپدیت در سه شنبه دوم یا چهارم هر ماه) هفته گذشته ارائه کند. اما این شرکت موفق به انجام این کار نشد و اعلام کرد که این آپدیت ها ” به عنوان بخشی از برنامه آپدیت سه شنبه ماه مارس” در ۱۴ مارس ۲۰۱۷ عرضه خواهند شد – درست یک ماه بعد از این که انتظار می رفت این آپدیت ها ارائه شوند.

حتی قبل از این تاخیر نیز یک پژوهشگر امنیتی، برنامه مخرب zero-day برای ویندوز سرور را بر روی سایت GitHub منتشر کرده بود، این کار بعد از این بود که علی رغم هشدارهای داده شده به مایکروسافت در سه ماه گذشته، این شرکت در ارائه راه حلی برای آن ناموفق بود. انتشار عمومی آسیب پذیری امنیتی zero-day باعث ارائه یک توصیه امنیتی از طرف مرکز US-CERT Coordination Center شد. وقتی از لورنت گافی (پژوهشگر امنیتی مسئول شناسایی این نقص) پرسیده شد که آیا افشای عمومی این نقص امنیتی بی مسئولیتی محسوب نمی شود؟ او پاسخ داد که مسئولیت این قضیه با مایکروسافت است.
این اولین باری نیست که مایکروسافت علی رغم دریافت هشدارهای لازم، در رفع یک نقص حیاتی ناموفق بوده است. در ماه اکتبر سال گذشته، گروه تحلیل تهدید گوگل جزئیات یک نقص امنیتی مهم در ویندوز را از طریق یک پست عمومی در سایت این شرکت افشا کردند. این غول جستجو اعلام کرده بود که این نقص zero-day در دنیای واقعی به طور موثر مورد سوء استفاده قرار گرفته است و مایکروسافت در رفع به موقع آن ناموفق بوده است — گوگل دارای یک سیاست افشای ۷ روزه است، بعد از گذشت این ۷ روز این شرکت به طور عمومی اطلاعات آسیب پذیری را به اشتراک می گذارد، اگرچه مایکروسافت و دیگر شرکت ها کاملاً از این اقدام متنفر هستند.

بازگشت به زمان حال
بخش پژوهشی Project Zero گوگل بار دیگر یک آسیب پذیری zero-day را عملاً آشکار کرد. اما این بار گوگل بیش از ۷ روز صبر کرده است، و بعد از ناتوانی مایکروسافت برای رفع این نقص در فرصت ۹۰ روزه، این اقدام را انجام داده است.
این نقص جدید بخش Windows GDI (رابط کاربری دستگاه های گرافیکی) را تحت تاثیر قرار می دهد، نرم افزارها با استفاده از این قسمت تصاویر گرافیکی و متون فرمت شده را در نمایش ویدئوها و پرینتر داخلی استفاده می کنند. این نقص هکرها را قادر می سازد تا اطلاعات را از حافظه سرقت کنند، به طوری که این کار از نسخه ویندوز ویستا سرویس پک ۲ تا جدیدترین نسخه ویندوز ۱۰ را تحت تاثیر قرار می دهد.
اگرچه تری مایرسون، معاون اجرایی بخش ویندوز مایکروسافت، در ماه نوامبر گذشته اقدامات گوگل را به دلیل قرار دادن مشتریان در خطر سوء استفاده بیشتر، ” نا امید کننده” خوانده بود، اما اکنون او نمی تواند همان نظر را داشته باشد. سال گذشته، گوگل این اطلاعات را بعد از ۱۰ روز افشا کرد، در حالی که این شرکت اکنون این اطلاعات را بعد از فرصت ۹۰ روزه به مایکروسافت آشکار کرده است.
در این توصیه امنیتی اشاره شده، ” ما ۹۰ روز فرصت می دهیم تا این نقص رفع شود، اگر این ۹۰ روز بدون ارائه یک آپدیت رفع اشکال قابل دسترس همگانی سپری شود، گزارش این نقص به طور خودکار در معرض عموم قرار خواهد گرفت. “

7 پسندیده شده
محمدرضا مرتضایی
از این نویسنده

بدون دیدگاه

جهت ارسال پیام و دیدگاه خود از طریق فرم زیر اقدام و موارد زیر را رعایت نمایید:
  • پر کردن موارد الزامی که با ستاره قرمز مشخص شده است اجباری است.
  • در صورتی که سوالی را در بخش دیدگاه مطرح کرده باشید در اولین فرصت به آن پاسخ داده خواهد شد.