• دانش و فن
    • اپراتورها و وب
    • موبایل و تبلت
    • برنامه و نرم افزار
    • دنیای بازی
    • گوناگون
  • اقتصاد
    • خودرو
    • اقتصاد بین الملل
    • بازارها
    • تجارت الکترونیک
    • وبگردی
    • رپورتاژ
  • سبک زندگی
    • سلامت
    • تغذیه
    • آشپزی
    • طبیعت
    • خلاقیت
    • حیوانات
  • گردشگری
    • سفر و گردشگری
  • فرهنگ و هنر
    • سینما و تئاتر
    • رادیو و تلویزیون
    • صنایع دستی
    • کتاب و مجله
  • چند رسانه‌ای
    • عکس
    • ویدیو
    • کاریکاتور
    • خودمونی
    • همیاری
مجله اینترنتی فوت و فن | Footofan.com
  • ۲۹, اردیبهشت ۱۴۰۱
  • تبلیغات
  • تماس با ما
مجله اینترنتی فوت و فن | Footofan.com
  • دانش و فن
    • اپراتورها و وب
    • موبایل و تبلت
    • برنامه و نرم افزار
    • دنیای بازی
    • گوناگون
  • اقتصاد
    • خودرو
    • اقتصاد بین الملل
    • بازارها
    • تجارت الکترونیک
    • وبگردی
    • رپورتاژ
  • سبک زندگی
    • سلامت
    • تغذیه
    • آشپزی
    • طبیعت
    • خلاقیت
    • حیوانات
  • گردشگری
    • سفر و گردشگری
  • فرهنگ و هنر
    • سینما و تئاتر
    • رادیو و تلویزیون
    • صنایع دستی
    • کتاب و مجله
  • چند رسانه‌ای
    • عکس
    • ویدیو
    • کاریکاتور
    • خودمونی
    • همیاری
  • دنبال کن
    • Facebook
    • Twitter
    • Linkedin
    • Pinterest
    • Youtube
    • Instagram
    • Tumblr
    • RSS
انتشار جزئیات یک حفره امنیتی در ویندوز ۸/۱ توسط گوگل و ناتوانی مایکروسافت در حل آن طی ۹۰ روز گذشته
اپراتورها و وب

انتشار جزئیات یک حفره امنیتی در ویندوز ۸/۱ توسط گوگل و ناتوانی مایکروسافت در حل آن طی ۹۰ روز گذشته

۱۴, دی ۱۳۹۳ عباس واحدی

در همین رابطه

اتصال آسان‌تر اندروید به دیگر دستگاه‌ها
بهترین برنامه‌های موبایلی گوگل و اپل در سال ۲۰۲۱
 
گوگل در پروژه صفر (Project Zero) دائما به دنبال بخش‌های آسیب‌پذیر نرم‌افزارهای سیستمها و سرویس‌های مختلف می‌گردد و به محض کشف آنها را به شرکتهای سازنده‌شان گزارش می‌کند.  البته در این میان چندان هم تولیدکننده نرم افزار را راحت نمی‌گذارد. در صورتی که شرکت مسئول در خصوص باگ کشف شده طی ۹۰ روز آن را رفع نکرده و پچ امنیتی لازم را منتشر نکند، تیم زیرو اطلاعات کامل آن حفره امنیتی را به صورت آنلاین منتشر می‌کنند.
 
حالا مایکروسافت قربانی شیوه کار این پروژه گوگلی شده است. یکی از محققان پروژه صفر گوگل باگی را در ویندوز ۸.۱ یافته بود که به کاربران سطح پایین تر اجازه دسترسی همتراز مدیران سیستم می‌داد. و آنها به اطلاعات حساسی از قبیل عملکردهای سرور دست پیدا می‌کردند. مواردی که به طور معمول اصلا اجازه نزدیکی به آنها را هم ندارند. اما مایکروسافت پس از ۹۰ روز این حفره امنیتی را همچنان باز گذارده و به سراغ حل مشکل نرفته است. لذا چند روز پیش تیم پروژه صفر طبق برنامه زمانبندی مرسوم خود اطلاعات  این باگ را منتشر کرد.
 
مایکروسافت هم تنها به همین عکس‌العمل اکتفا کرده که بگوید: «حمله با استفاده از این اطلاعات به یک دسترسی مجاز در سیستم نیاز دارد و باید به صورت محلی و با حضور فیزیکی روی سیستم اعمال شود.» در حالی که این موضوع میزان آسیب را محدود می‌کند، بدان معنی نیست که چنین حفره‌ امنیتی کاملا بی خطر است. یک کارمند عصبانی یا اخراجی با دسترسی متوسط در سیستم که اندکی هم توانایی برنامه نویسی دارد با استفاده از این باگ می‌تواند سیستم یک شرکت را به کلی مختل کرده یا اطلاعات حساسی را سرقت کند. گوگل می‌گوید: «برای شفاف‌سازی باید گفت که اطلاعات لازم درباره این باگ روز ۳۰ سپتامبر ۲۰۱۴ در اختیار مایکروسافت قرار گرفته و رسما سیاست کاری تیم زیرو به آنها اعلام شد. اما آنها هیچ کاری نکردند و ما طبق برنامه اطلاعات را منتشر کردیم.»
 
البته بسیاری از تحلیلگران و ناظران بر این عقیده‌اند که درصورتی گوگل در خصوص برنامه زمانبندی این پروژه منعطف‌تر عمل نکند، پروژه صفر بیش از فایده‌اش می‌تواند ضرر داشته و حتی خطرناک باشد. زیرا برخی باگهای مهم می‌توانند آسیبهای امنیتی شدیدی را به دنبال داشته باشند. البته گروهی هم می‌گویند مایکروسافت زمان بسیار زیادی را برای حل مشکل در اختیار داشته است… و گوگل در این برنامه‌اش زمان فراوان و منصفانه‌ای را در اختیار تولیدکنندگان نرم‌افزار گذارده است تا علاوه بر رفع مشکل، فرآیندهای مدیریت آسیب و باگ را در شرکت خود بررسی و بازسازی کنند.  
 
البته مایکروسافت مدعی است که «در حال کار بر روی این آپدیت امنیتی هستند تا مشکل Elevation of Privilege را حل کنند.»
 

مایکروسافت:
ما مشغول کار برای عرضه یک به‌روزرسانی امنیتی هستنیم تا مشکل Elevation of Privilege را حل کند. و لازم است اشاره کنیم که مهاجمان باید به طور بالقوه دسترسی لازم را در سیستم داشته باشند و برای بهره‌گیری از این باگ باید ابتدا یک اکانت با دسترسی مجاز در سیستم در اختیار داشته و همچنین به صورت فیزیکی هم آن سیستم در اختیارشان باشد. ما به مشتریانمان اطمینان می‌دهیم که در صورت به روز نگه‌داشتن آنتی ویروس و نصب آپدیتهای امنیتی لازم روی کامپیوترشان و روشن نگه داشتن دیواره آتش، دیگر نگرانی امنیتی نخواهند داشت.
 

گوگل:
پس از انتشار این کد، صحبتهایی درباره تمام درست و اخطار دهنده ما با مایکروسافت قبل از این کار به میان آمد. برای همین لازم است به نکاتی اشاره کنیم.
 
در ابتدا بگذارید موضوع را کاملا روشن کنیم. ایراد ahcache.sys/NtApphelpCacheControl  روز ۳۰ سپتامبر ۲۰۱۴ به مایکروسافت گزارش شده بود. همچنین در گزارش ارسالی به مایکروسافت درج شده بود که آنها فرصتی ۹۰ روزه برای حل مشکل دارند و پس از آن اطلاعات منتشر خواهد شد.
 
مدت زمان تعیین شده در پروژه صفر ما از همان ابتدای شکل گیری در اوایل سال ۲۰۱۴ طبق آیین نامه گروه تعیین گردیده است. این موضوع نتیجه سالها پیگیری صبورانه و مراقبتهای امنیتی در سطح تجاری و بحث‌های فراوان در زمینه زمان لازم برای حل مشکلات امنیتی است. متخصصان امنیتی سراسر دنیا نیز طی ۱۳ سال گذشته از همین برنامه زمانی برای فعالیتهای‌شان پیروی کرده اند. و ما فکر می‌کنیم برنامه افشای مان لازم است که از قوانین حاکم بر اکوسیستم امنیت اطلاعات پیروی کند. 

 

  • برچسب ها
  • bug
  • google
  • infosec
  • microsoft
  • project zero
  • security
  • windows
  • windows 8.1
  • امنیت اطلاعات
  • باگ
  • تیم پروژه صفر
  • حفره امنیتی
  • مایکروسافت
  • ویندوز
  • ویندوز ۸.۱
  • پروژه صفر گوگل
  • گوگل
Facebook Twitter LinkedIn Pinterest Tumblr VKontakte WhatsApp

عباس واحدی

داستان زندگی من در اینترنت به سال ۱۳۷۸، سالن کامپیوتر دانشگاه یاسوج و سایت چت مشکی‌رنگ کاشان برمی‌گردد. اما موضوع وقتی جدی‌تر شد که آذرماه ۱۳۸۲سراغ وبلاگ نویسی رفتم. سال ۸۴ همکاری کوتاهی با سایت گواشیر را تجربه کردم و دو سال بعد با ورود به تیم کوچک نارنجی، زندگی آنلاین یک مترجم و نویسنده نوپا آغاز شد که همواره دنبال تجربه‌های تازه بود. یک شغل جذاب که تبدیل به بزرگترین لذت و سرگرمی یک دانشجوی کشاورزی - گرایش علوم‌دامی شد. ورود به جرگه وب‌نویسان فارسی با اتفاقات فراوان و شیرینی همراه بود که در این میان می‌توان به همکاری با نشریه جذاب «گزارش بازار دیجیتال»، ارتباط با دوستان خوب روابط‌عمومی نوکیا ایران و قلم زنی در سایتهای «نگهبان» و «نردبان» اشاره کرد. و البته پس از پایان تلخ نارنجی و پشت سر گذاردن تجربه‌ای نه چندان خوشایند، مدتی است افتخار همراهی با تیم حرفه‌ای، دوست‌داشتنی و خلاق «فوت و فن» نصیبم شده است.

مطالب مرتبط

اتصال آسان‌تر اندروید به دیگر دستگاه‌ها گوناگون
۲۰, دی ۱۴۰۰

اتصال آسان‌تر اندروید به دیگر دستگاه‌ها

بهترین برنامه‌های موبایلی گوگل و اپل در سال ۲۰۲۱ برنامه و نرم افزار
۲۴, آذر ۱۴۰۰

بهترین برنامه‌های موبایلی گوگل و اپل در سال ۲۰۲۱

بیشترین جستجو در گوگل؛ «جملات تاکیدی مثبت» اپراتورها و وب
۲۱, آذر ۱۴۰۰

بیشترین جستجو در گوگل؛ «جملات تاکیدی مثبت»

پاسخ بدهید لغو پاسخ

تبلیغات
مطالب مرتبط
۲۰, دی ۱۴۰۰

اتصال آسان‌تر اندروید به دیگر دستگاه‌ها

۲۴, آذر ۱۴۰۰

بهترین برنامه‌های موبایلی گوگل و اپل در سال ۲۰۲۱

۲۱, آذر ۱۴۰۰

بیشترین جستجو در گوگل؛ «جملات تاکیدی مثبت»

۳۰, مهر ۱۴۰۰

همه چیز درباره Pixel 6 با پردازشگر اختصاصی گوگل

۱۹, مهر ۱۴۰۰

گسترش امکانات تلفن‌های اپل در ماشین

۶, مهر ۱۴۰۰

محصولات جدید مایکروسافت سرفیس در یک نگاه

۳, شهریور ۱۴۰۰

امنیت بیشتر و تصحیح بهتر اشتباهات تایپ تلفنی

۱۸, مرداد ۱۴۰۰

تبلیغات در صفحه اول گوگل توسط آژانس تبلیغاتی ادوردز ۲۰

۸, تیر ۱۴۰۰

همه آنچه درباره ویندوز ۱۱ باید بدانید

۱۳, اردیبهشت ۱۴۰۰

همکاری ایسوس با مایکروسافت: شروع نسل جدیدی از راهکارهای اینترنت اشیاء (IoT)

۲۱, بهمن ۱۳۹۹

جست‌وجوهای اینترنتی، سرنخی برای ردیابی شیوع کرونا

۱۹, بهمن ۱۳۹۹

گوشی‌های گوگل پیکسل ضربان قلب و میزان تنفس را اندازه می‌گیرند

۴, بهمن ۱۳۹۹

پروژه اینترنت بالنی گوگل ناموفق شد

۲۴, دی ۱۳۹۹

افزودن STADIA CLOUD GAMING به تلویزیون‌های هوشمند ال‌جی در اواخر سال ۲۰۲۱

۲۴, آذر ۱۳۹۹

اختلال گسترده در سرویس‌های گوگل، یوتیوب و جی‌میل در مناطق مختلف دنیا

logo-samandehi
  • ارسال مطلب
  • تبلیغات
  • تماس با ما
  • درباره ما
  • بازگشت‌به‌بالا
کپی کردن بخش یا کل مطلب از فوت و فن تنها با لینک به آن مطلب و درج نام فوت و فن امکان‌پذیر است.
Produced by Footofan © 2010 - 2022