محققان گوگل یک آسیب‌پذیریِ اجرای کد از راه دور را در ویندوز کشف کردند

نوشته شده در تاریخ توسط

دو محقق گوگل با نام‌های تاویوس اورماندی و ناتلی سیلوانوویچ که بر روی پروژه‌ی صفر گوگل کار می‌کنند، مدعی شدند یک آسیب‌پذیری حیاتی و جدی را بر روی ویندوز کشف کرده‌اند. جزئیات فنی این آسیب‌پذیری احتمالاً اگر وصله نشود پس از گذشت ۹۰ روز افشاء خواهد شد.

اورماندی آخر هفته در توییتر اعلام کرد به همراه یکی از همکاران خود، یک آسیب‌پذیری اجرای کد از راه دور را در حافظه‌ی ویندوز کشف کرده است. این کارشناس امنیتی در مورد جزئیات این آسیب‌پذیری چیزی نگفت ولی اعلام کرد کد بهره‌برداری که توسعه داده‌اند، بر روی تمامی نصب‌های پیش‌فرض ویندوز به خوبی کار کرده و نیازی نیست برای بهره‌برداری از آن، مهاجم در شبکه‌ی محلیِ قربانی قرار گرفته باشد.

هرچند این محققان هیچ جزئیاتی از این آسیب‌پذیری را افشاء نکردند ولی تعدادی از افراد در حوزه‌ی امنیت این محققان را به دلیل افشای وجودِ این آسیب‌پذیری مورد انتقاد قرار دادند. شرکت گوگل معمولاً برای آسیب‌پذیری‌هایی که توسط محققان این شرکت کشف می‌شود، ۹۰ روز به شرکت‌های مورد نظر وقت می‌دهد تا آسیب‌پذیری را وصله کنند و در غیر این صورت، آسیب‌پذیری را به‌طور عمومی افشاء می‌کند. همچنین گوگل اگر ببیند یک آسیب‌پذیری در دنیای واقعی در حملات، مورد بهره‌برداری قرار می‌گیرد، بیشتر از ۷ روز به شرکت‌ها مهلت وصله نمی‌دهد.

در آبان ماه شاهد بودیم که گوگل یک آسیب‌پذیری در هسته‌ی ویندوز را که یک آسیب‌پذیری روز-صفرم بود و در حملات فعال مورد بهره‌برداری قرار می‌گرفت، به‌طور عمومی افشاء کرد. مایکروسافت در این بازه‌ی ۷ روزه نتوانسته بود آسیب‌پذیری را وصله کند. اخیراً و در ماه فوریه، یکی از محققان گوگل جزئیات یک آسیب‌پذیری و همچنین کد اثبات مفهومیِ آن را که در مرورگرهای اج و اینترنت اکسپلورر وجود داشت، به‌طور عمومی افشاء کرد. مایکروسافت تقریباً چند هفته پس از افشای آسیب‌پذیری آن را وصله کرد.

در چند سال گذشته، شرکت گوگل جزئیات آسیب‌پذیری‌های متعددی را در ویندوز پس از گذشت مهلت ۹۰ روزه، به‌طور عمومی افشاء کرده است. گوگل در فوریه‌ی سال ۲۰۱۵ میلادی به دنبال انتقاداتی که از طرف مایکروسافت و دیگر شرکت‌ها در حوزه‌ی امنیت دریافت کرد، در سیاست‌های افشای آسیب‌پذیری خود تغییراتی ایجاد کرد ولی همچنان برای افشای آسیب‌پذیری‌ها همان مهلت ۹۰ روزه اعمال می‌شود.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.