افشاء عمومی آسیب‌پذیریِ دیگری در ویندوز توسط گوگل

گروهِ پروژه‌ی Zero گوگل به‌طور مداوم حفره‌های امنیتی را در نرم‌افزارهای مختلف کشف کرده و به شرکت‌های مربوطه گزارش می‌کند. این گروه به شرکت‌ها ۹۰ روز مهلت می‌دهد تا آسیب‌پذیری را وصله کرده و به‌طور عمومی افشاء کنند و اگر این اتفاق نیفتاد، شرکت گوگل خود وارد عمل شده و با جزئیات آن را افشاء می‌کند.

شرکت مایکروسافت بار دیگر در برابر گوگل شرمنده شد. بله! شرکت گوگل بار دیگر یک آسیب‌پذیری در سامانه عامل‌های ویندوز را به‌طور عمومی افشاء و کد اثبات مفهومی برای بهره‌برداری از آن را افشاء کرد. این آسیب‌پذیری نسخه‌های مختلفی از این سامانه عامل از ویستا سرویس‌پک ۲ گرفته تا ویندوز ۱۰ را تحت تأثیر قرار می‌دهد و تاکنون وصله نشده است.

تکنــــــــــــازدانلود: چند ماه قبل شاهد بودیم که شرکت گوگل یک آسیب‌پذیری حیاتی در ویندوز را به‌طور عمومی افشاء کرد در حالی‌که تنها ۱۰ روز از اطلاع‌رسانیِ آن به شرکت مایکروسافت گذشته بود. با این‌حال، این بار گوگل به مایکروسافت ۹۰ روز مهلت داده و پس از اینکه این شرکت نتوانسته آن را برطرف کند، آسیب‌پذیری به‌طور عمومی افشاء شده است.

این آسیب‌پذیری در کتابخانه‌ی واسط دستگاهِ گرافیکیِ ویندوز وجود دارد و مهندسان گوگل آن را به مایکروسافت در تاریخ ۲۰ خرداد سال جاری گزارش دادند. این آسیب‌پذیری هر برنامه‌ای که از این کتابخانه استفاده کند را تحت تأثیر قرار می‌دهد و اگر مورد بهره‌برداری قرار گیرد، به مهاجم اجازه‌ی سرقت اطلاعات از حافظه را می‌دهد.

کارشناسان مایکروسافت در ۲۶ خرداد وصله‌ای برای این آسیب‌پذیری منتشر کردند ولی این اشکال در کتابخانه‌ی GDI به‌طور کامل برطرف نشد و مهندسان گوگل مجبور شد بار دیگر در ۲۶ آبان ماه، همراه با کد اثباتِ مفهومی این آسیب‌پذیری را گزارش کنند.
در گزارش محققان گوگل آمده است: «در مرورگر اینترنت اکسپلورر و در دیگر کارخواه‌های GDI، ممکن است بایت‌هایی خارج از محدوده‌ی پشته، توسط رنگ پیکسل‌ها افشاء شود که در نتیجه داده‌های تصویری که نمایش داده شده، به مهاجم بازگشت داده می‌شود و اطلاعات آن قابل استخراج است.» اینک پس از دادن مهلت ۳ ماهه به مایکروسافت، شرکت گوگل این آسیب‌پذیری را به‌طور عمومی منتشر کرده که این اطلاعات در اختیارِ نفوذگران و عوامل مخرب نیز قرار گرفته است.

گروهِ پروژه‌ی Zero گوگل به‌طور مداوم حفره‌های امنیتی را در نرم‌افزارهای مختلف کشف کرده و به شرکت‌های مربوطه گزارش می‌کند. این گروه به شرکت‌ها ۹۰ روز مهلت می‌دهد تا آسیب‌پذیری را وصله کرده و به‌طور عمومی افشاء کنند و اگر این اتفاق نیفتاد، شرکت گوگل خود وارد عمل شده و با جزئیات آن را افشاء می‌کند.

هرچند نیازی نیست کاربران ویندوز وحشت کنند چرا که برای بهره‌برداری از این آسیب‌پذیری، نفوذگران نیاز به دسترسیِ فیزیکی به ماشین قربانی دارند و پس از این افشای عمومی، مایکروسافت در اسرع وقت این اشکال را برطرف و وصله‌های مناسبی را منتشر خواهد کرد.
این ماه شاهد بودیم که در انتشار وصله‌های ماهانه‌ی مایکروسافت تأخیری بوجود آمد. مایکروسافت دلیل این تأخیر را کشف یک آسیب‌پذیری در دقایق آخر عنوان کرد که برای وصله‌ی آن برنامه‌ریزی نکرده بود. بنابراین اگر مایکروسافت وصله و به‌روزرسانیِ اضطراری را این ماه منتشر نکند، بهره‌برداری از این آسیب‌پذیری برای مهاجمان به مدت یک‌ماه باز خواهد بود. همان‌طور که به‌خاطر دارید سری قبل زمانی‌که گوگل آسیب‌پذیری را در هسته‌ی ویندوز افشاء کرد، گروه نفوذ روسی فرصت پیدا کرد تا از آن در دنیای واقعی بهره‌برداری کند.