پیشنهاد می شود
کشف یک نقص امنیتی در ویندوز توسط پژوهشگر گوگل
مایکروسافت راهنمای امنیتی با عنوان (۲۲۱۹۴۷۵) را منتشر کرده است که به بررسی نقص امنیتی «صفر روزه» در سیستم عامل ویندوز میپردازد. بر طبق نوشته وبلاگ تیم امنیتی ویندوز، جزئیات این آسیب پذیری دو روز پیش توسط یکی از پژوهشگران گوگل برای عموم منتشر شده است.
مدیر راهبردی تیم پاسخ امنیتی ویندوز پیرامون افشای عمومی این نقص امنیتی ابراز ناخرسندی کرده است و در ادامه گفته است که افشا نمودن جزئیات بهرهبرداری از این گونه آسیب پذیریها کاربران و مشتریانش را بیشتر مورد تهدید حملات مخرب قرار میدهد.
این آسیب پذیری مربوط به سیستم عاملهای ویندوز سرور ۲۰۰۳ و اکس پی میباشد. کاربر در هنگام کلیک بر روی پیوندهای hcp که فایل helpctr.exe را اجرا میکند به روش امن و معمول میتواند در میان اطلاعات «کمک» گشت بزند. اما محقق گوگل کشف کرده است که یک صفحه کمک (help page) که آلوده به آسیب پذیری کراس سایت اسکریپتینگ باشد، میتواند از این مکانیزم سوء استفاده نماید.
پژوهشگر گوگل که نام وی مشخص نیست این آسیب پذیری را به مایکروسافت اعلام میکند اما تنها پس از چهار روز جزئیات نحوه عملکرد مخرب این آسیب پذیری را بر روی اینترنت قرار میدهد.
کارگردان امنیتی در مایکروسافت این نحوه عملکرد گوگل را مورد انتقاد قرار داده است و مدت زمان چهار روز را برای بررسی این آسیب پذیری کم اعلام کرده است. مایکروسافت میگوید که ارائه اصلاحیهای که بر روی کیفیت محصول تاثیر گذار نباشد بیش از این مدت طول میکشد.
مایکروسافت در بخشی دیگر از این نوشته وبلاگی از یافته پژوهشگر گوگل قدردانی نیز کرده است اما خواستار ایجاد حس مسولیت پذیری بیشتر شده است. «ما درک میکنیم که محققان بخش حیاتی در رابطه با شناخت مشکلات و بهبود آنها هستند و ما همچنان از آنان خواستاریم که به فعالیت مفید خود به همراه افشاء سازی های مسؤلانه ادامه دهند.»
هم اکنون بهترین روش کاهش ریسک خطر سیستم عاملهای ویندوز xp و ویندوز سرور ۲۰۰۳ منحل کردن ثبات نگهدارنده hcp:// میباشد:
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\HCP]
با اضافه کردن این کد در یک فایل reg. میتوانید پروتکل hcp را منحل نمایید. روش برگشت به حالت اولیه و اطلاعات کاملتر در راهنمای امنیتی این آسیب پذیری قرار گرفته است. قابل ذکر است که نسخههای جدیدتر سیستم عامل ویندوز مانند ویستا و هفت به این نقص آلوده نمیباشند.
مشاهده: اطلاعات بیشتر …
مشاهده: نوشته وبلاگ امنیت مایکروسافت
این گوگلم از هیچ کاری واسه رقابت و جنگ با ماکروسافت و بقیه روی گردان نیست
همه سیستم عامل ها باگ دارن ، خیلی هاشون بشتر از ویندوز….. پیدا کردن یه باگ که جار زدن نداره
رقابت باید سالم باشه
امنیت چیزی نیست که کسی بخواد برقرار کنه. و هر کسی که ادعای هوش در زمینه کامپیوتر داره باید اخلاق حرفه ای داشته باشه.
من اینو در شرکت مایکروسافت میبینم نه شرکت های عوام فریب!!!
@abolfazl:
در مورد اخلاق حرف حق زدی
ولی میشه برای همه بگی منظورت از عوام فریبی چیه؟
حتما اگه کسی بگه ماکروسافت محصولاتش پر از مشکلات امنیتیه، یا اینکه سرعت خوبی نداره عوام فریبی کرده آره؟
البته محصولات ماکروسافت از لحاظ کارایی خوب عمل میکنند.
@همایون: منظورم انتشار عمومی نقص امنیتی قبل از ارائه وصله امنیتی توسط شرکت سازنده (که حالا اینجا مایکروسافته) بود. نرم افزارها مشکلات امنیتی دارن وقتی یکی که وارده و اونو کشف میکنه بیاد قبل از ارائه وصله امنیتی به همه اعلام کنه باعث میشه سیستم بقیه مورد حمله قرار بگیره. این کار بچه های گوگل حرفه ای نبوده.
با این کار گوگل فرصت خوبی برای هکر ها و ویروس نویسان ایجاد شد تا بزنند و ویندوز بی چاره را تحت کنترل خود بگیرند
یک روی سکه رقابت این دو غول هست و البته باید به مایکروسافت زمان بیشتری می دادند و انتظار رفع این مشکل و ارایه اصلاحیه توی چهار روز کمی مشکله.
روی بعدی سکه هم می تونه این باشه که مایکروسافت تحویل نگرفته گوگل رو اونا هم منتشر کردند.