گروهِ پروژهی Zero گوگل بهطور مداوم حفرههای امنیتی را در نرمافزارهای مختلف کشف کرده و به شرکتهای مربوطه گزارش میکند. این گروه به شرکتها ۹۰ روز مهلت میدهد تا آسیبپذیری را وصله کرده و بهطور عمومی افشاء کنند و اگر این اتفاق نیفتاد، شرکت گوگل خود وارد عمل شده و با جزئیات آن را افشاء میکند.
شرکت مایکروسافت بار دیگر در برابر گوگل شرمنده شد. بله! شرکت گوگل بار دیگر یک آسیبپذیری در سامانه عاملهای ویندوز را بهطور عمومی افشاء و کد اثبات مفهومی برای بهرهبرداری از آن را افشاء کرد. این آسیبپذیری نسخههای مختلفی از این سامانه عامل از ویستا سرویسپک ۲ گرفته تا ویندوز ۱۰ را تحت تأثیر قرار میدهد و تاکنون وصله نشده است.
تکنــــــــــــازدانلود: چند ماه قبل شاهد بودیم که شرکت گوگل یک آسیبپذیری حیاتی در ویندوز را بهطور عمومی افشاء کرد در حالیکه تنها ۱۰ روز از اطلاعرسانیِ آن به شرکت مایکروسافت گذشته بود. با اینحال، این بار گوگل به مایکروسافت ۹۰ روز مهلت داده و پس از اینکه این شرکت نتوانسته آن را برطرف کند، آسیبپذیری بهطور عمومی افشاء شده است.
این آسیبپذیری در کتابخانهی واسط دستگاهِ گرافیکیِ ویندوز وجود دارد و مهندسان گوگل آن را به مایکروسافت در تاریخ ۲۰ خرداد سال جاری گزارش دادند. این آسیبپذیری هر برنامهای که از این کتابخانه استفاده کند را تحت تأثیر قرار میدهد و اگر مورد بهرهبرداری قرار گیرد، به مهاجم اجازهی سرقت اطلاعات از حافظه را میدهد.
کارشناسان مایکروسافت در ۲۶ خرداد وصلهای برای این آسیبپذیری منتشر
کردند ولی این اشکال در کتابخانهی GDI بهطور کامل برطرف نشد و مهندسان
گوگل مجبور شد بار دیگر در ۲۶ آبان ماه، همراه با کد اثباتِ مفهومی این
آسیبپذیری را گزارش کنند.
در گزارش محققان گوگل آمده است: «در مرورگر اینترنت اکسپلورر و در دیگر
کارخواههای GDI، ممکن است بایتهایی خارج از محدودهی پشته، توسط رنگ
پیکسلها افشاء شود که در نتیجه دادههای تصویری که نمایش داده شده، به
مهاجم بازگشت داده میشود و اطلاعات آن قابل استخراج است.» اینک پس از دادن
مهلت ۳ ماهه به مایکروسافت، شرکت گوگل این آسیبپذیری را بهطور عمومی
منتشر کرده که این اطلاعات در اختیارِ نفوذگران و عوامل مخرب نیز قرار
گرفته است.
گروهِ پروژهی Zero گوگل بهطور مداوم حفرههای امنیتی را در نرمافزارهای مختلف کشف کرده و به شرکتهای مربوطه گزارش میکند. این گروه به شرکتها ۹۰ روز مهلت میدهد تا آسیبپذیری را وصله کرده و بهطور عمومی افشاء کنند و اگر این اتفاق نیفتاد، شرکت گوگل خود وارد عمل شده و با جزئیات آن را افشاء میکند.
هرچند نیازی نیست کاربران ویندوز وحشت کنند چرا که برای بهرهبرداری از
این آسیبپذیری، نفوذگران نیاز به دسترسیِ فیزیکی به ماشین قربانی دارند و
پس از این افشای عمومی، مایکروسافت در اسرع وقت این اشکال را برطرف و
وصلههای مناسبی را منتشر خواهد کرد.
این ماه شاهد بودیم که در انتشار وصلههای ماهانهی مایکروسافت تأخیری
بوجود آمد. مایکروسافت دلیل این تأخیر را کشف یک آسیبپذیری در دقایق آخر
عنوان کرد که برای وصلهی آن برنامهریزی نکرده بود. بنابراین اگر
مایکروسافت وصله و بهروزرسانیِ اضطراری را این ماه منتشر نکند،
بهرهبرداری از این آسیبپذیری برای مهاجمان به مدت یکماه باز خواهد بود.
همانطور که بهخاطر دارید سری قبل زمانیکه گوگل آسیبپذیری را در هستهی
ویندوز افشاء کرد، گروه نفوذ روسی فرصت پیدا کرد تا از آن در دنیای واقعی
بهرهبرداری کند.