انتشار جزئیات یک حفره امنیتی در ویندوز ۸/۱ توسط گوگل و ناتوانی مایکروسافت در حل آن طی ۹۰ روز گذشته

نویسنده:

۰۸:۵۰:۳۸

 
گوگل در پروژه صفر (Project Zero) دائما به دنبال بخش‌های آسیب‌پذیر نرم‌افزارهای سیستمها و سرویس‌های مختلف می‌گردد و به محض کشف آنها را به شرکتهای سازنده‌شان گزارش می‌کند.  البته در این میان چندان هم تولیدکننده نرم افزار را راحت نمی‌گذارد. در صورتی که شرکت مسئول در خصوص باگ کشف شده طی ۹۰ روز آن را رفع نکرده و پچ امنیتی لازم را منتشر نکند، تیم زیرو اطلاعات کامل آن حفره امنیتی را به صورت آنلاین منتشر می‌کنند.
 
حالا مایکروسافت قربانی شیوه کار این پروژه گوگلی شده است. یکی از محققان پروژه صفر گوگل باگی را در ویندوز ۸.۱ یافته بود که به کاربران سطح پایین تر اجازه دسترسی همتراز مدیران سیستم می‌داد. و آنها به اطلاعات حساسی از قبیل عملکردهای سرور دست پیدا می‌کردند. مواردی که به طور معمول اصلا اجازه نزدیکی به آنها را هم ندارند. اما مایکروسافت پس از ۹۰ روز این حفره امنیتی را همچنان باز گذارده و به سراغ حل مشکل نرفته است. لذا چند روز پیش تیم پروژه صفر طبق برنامه زمانبندی مرسوم خود اطلاعات  این باگ را منتشر کرد.
 
مایکروسافت هم تنها به همین عکس‌العمل اکتفا کرده که بگوید: «حمله با استفاده از این اطلاعات به یک دسترسی مجاز در سیستم نیاز دارد و باید به صورت محلی و با حضور فیزیکی روی سیستم اعمال شود.» در حالی که این موضوع میزان آسیب را محدود می‌کند، بدان معنی نیست که چنین حفره‌ امنیتی کاملا بی خطر است. یک کارمند عصبانی یا اخراجی با دسترسی متوسط در سیستم که اندکی هم توانایی برنامه نویسی دارد با استفاده از این باگ می‌تواند سیستم یک شرکت را به کلی مختل کرده یا اطلاعات حساسی را سرقت کند. گوگل می‌گوید: «برای شفاف‌سازی باید گفت که اطلاعات لازم درباره این باگ روز ۳۰ سپتامبر ۲۰۱۴ در اختیار مایکروسافت قرار گرفته و رسما سیاست کاری تیم زیرو به آنها اعلام شد. اما آنها هیچ کاری نکردند و ما طبق برنامه اطلاعات را منتشر کردیم.»
 
البته بسیاری از تحلیلگران و ناظران بر این عقیده‌اند که درصورتی گوگل در خصوص برنامه زمانبندی این پروژه منعطف‌تر عمل نکند، پروژه صفر بیش از فایده‌اش می‌تواند ضرر داشته و حتی خطرناک باشد. زیرا برخی باگهای مهم می‌توانند آسیبهای امنیتی شدیدی را به دنبال داشته باشند. البته گروهی هم می‌گویند مایکروسافت زمان بسیار زیادی را برای حل مشکل در اختیار داشته است… و گوگل در این برنامه‌اش زمان فراوان و منصفانه‌ای را در اختیار تولیدکنندگان نرم‌افزار گذارده است تا علاوه بر رفع مشکل، فرآیندهای مدیریت آسیب و باگ را در شرکت خود بررسی و بازسازی کنند.  
 
البته مایکروسافت مدعی است که «در حال کار بر روی این آپدیت امنیتی هستند تا مشکل Elevation of Privilege را حل کنند.»
 

مایکروسافت:
ما مشغول کار برای عرضه یک به‌روزرسانی امنیتی هستنیم تا مشکل Elevation of Privilege را حل کند. و لازم است اشاره کنیم که مهاجمان باید به طور بالقوه دسترسی لازم را در سیستم داشته باشند و برای بهره‌گیری از این باگ باید ابتدا یک اکانت با دسترسی مجاز در سیستم در اختیار داشته و همچنین به صورت فیزیکی هم آن سیستم در اختیارشان باشد. ما به مشتریانمان اطمینان می‌دهیم که در صورت به روز نگه‌داشتن آنتی ویروس و نصب آپدیتهای امنیتی لازم روی کامپیوترشان و روشن نگه داشتن دیواره آتش، دیگر نگرانی امنیتی نخواهند داشت.
 

گوگل:
پس از انتشار این کد، صحبتهایی درباره تمام درست و اخطار دهنده ما با مایکروسافت قبل از این کار به میان آمد. برای همین لازم است به نکاتی اشاره کنیم.
 
در ابتدا بگذارید موضوع را کاملا روشن کنیم. ایراد ahcache.sys/NtApphelpCacheControl  روز ۳۰ سپتامبر ۲۰۱۴ به مایکروسافت گزارش شده بود. همچنین در گزارش ارسالی به مایکروسافت درج شده بود که آنها فرصتی ۹۰ روزه برای حل مشکل دارند و پس از آن اطلاعات منتشر خواهد شد.
 
مدت زمان تعیین شده در پروژه صفر ما از همان ابتدای شکل گیری در اوایل سال ۲۰۱۴ طبق آیین نامه گروه تعیین گردیده است. این موضوع نتیجه سالها پیگیری صبورانه و مراقبتهای امنیتی در سطح تجاری و بحث‌های فراوان در زمینه زمان لازم برای حل مشکلات امنیتی است. متخصصان امنیتی سراسر دنیا نیز طی ۱۳ سال گذشته از همین برنامه زمانی برای فعالیتهای‌شان پیروی کرده اند. و ما فکر می‌کنیم برنامه افشای مان لازم است که از قوانین حاکم بر اکوسیستم امنیت اطلاعات پیروی کند. 

 

برگرفته از
حفره امنیتی
لینک کوتاه

دیدگاه