دو محقق گوگل با نامهای تاویوس اورماندی و ناتلی سیلوانوویچ که بر روی پروژهی صفر گوگل کار میکنند، مدعی شدند یک آسیبپذیری حیاتی و جدی را بر روی ویندوز کشف کردهاند. جزئیات فنی این آسیبپذیری احتمالاً اگر وصله نشود پس از گذشت ۹۰ روز افشاء خواهد شد.
اورماندی آخر هفته در توییتر اعلام کرد به همراه یکی از همکاران خود، یک آسیبپذیری اجرای کد از راه دور را در حافظهی ویندوز کشف کرده است. این کارشناس امنیتی در مورد جزئیات این آسیبپذیری چیزی نگفت ولی اعلام کرد کد بهرهبرداری که توسعه دادهاند، بر روی تمامی نصبهای پیشفرض ویندوز به خوبی کار کرده و نیازی نیست برای بهرهبرداری از آن، مهاجم در شبکهی محلیِ قربانی قرار گرفته باشد.
هرچند این محققان هیچ جزئیاتی از این آسیبپذیری را افشاء نکردند ولی تعدادی از افراد در حوزهی امنیت این محققان را به دلیل افشای وجودِ این آسیبپذیری مورد انتقاد قرار دادند. شرکت گوگل معمولاً برای آسیبپذیریهایی که توسط محققان این شرکت کشف میشود، ۹۰ روز به شرکتهای مورد نظر وقت میدهد تا آسیبپذیری را وصله کنند و در غیر این صورت، آسیبپذیری را بهطور عمومی افشاء میکند. همچنین گوگل اگر ببیند یک آسیبپذیری در دنیای واقعی در حملات، مورد بهرهبرداری قرار میگیرد، بیشتر از ۷ روز به شرکتها مهلت وصله نمیدهد.
در آبان ماه شاهد بودیم که گوگل یک آسیبپذیری در هستهی ویندوز را که یک آسیبپذیری روز-صفرم بود و در حملات فعال مورد بهرهبرداری قرار میگرفت، بهطور عمومی افشاء کرد. مایکروسافت در این بازهی ۷ روزه نتوانسته بود آسیبپذیری را وصله کند. اخیراً و در ماه فوریه، یکی از محققان گوگل جزئیات یک آسیبپذیری و همچنین کد اثبات مفهومیِ آن را که در مرورگرهای اج و اینترنت اکسپلورر وجود داشت، بهطور عمومی افشاء کرد. مایکروسافت تقریباً چند هفته پس از افشای آسیبپذیری آن را وصله کرد.
در چند سال گذشته، شرکت گوگل جزئیات آسیبپذیریهای متعددی را در ویندوز پس از گذشت مهلت ۹۰ روزه، بهطور عمومی افشاء کرده است. گوگل در فوریهی سال ۲۰۱۵ میلادی به دنبال انتقاداتی که از طرف مایکروسافت و دیگر شرکتها در حوزهی امنیت دریافت کرد، در سیاستهای افشای آسیبپذیری خود تغییراتی ایجاد کرد ولی همچنان برای افشای آسیبپذیریها همان مهلت ۹۰ روزه اعمال میشود.
منبع: asis
درباره نماد امنیت وب
کانال اخبار فناوری اطلاعات نماد امن
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.