info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

افشای آسیب‌پذیری وصله نشده مرورگر‌های مایکروسافت. باز هم توسط گوگل!

خلاصه: گوگل برای چندمین بار آسیب‌پذیری محصولات شرکت مایکروسافت را قبل از وصله شدن این آسیب‌پذیری‌ها افشا نمود. این بار آسیب‌پذیری مربوط به مرورگرهای IE و Edge مایکروسافت است که به مهاجمان امکان می‌دهد که با اجرای خودسرانه کد، به سیستم قربانی آسیب بزنند و یا آن را تحت اختیار خود بگیرند.

گوگل باز هم آسیب‌پذیری وصله نشده ای از محصولات مایکروسافت را افشا نمود! در ابتدا شاید این کار گوگل نادرست به نظر برسد و یا استراتژی برای رقابت با مایکروسافت به نظر برسد. اما خوب است بدانید که افشای عمومی آسیب‌پذیری‌ها توسط گوگل کاملا بر اساس برنامه زمانی مشخص صورت می‌گیرد. زمانی که گوگل آسیب‌پذیری را روی محصولی کشف می‌کند به شرکت سازنده محصول اطلاع می‌دهد و به آن ۹۰ روز وقت می‌دهد تا این آسیب‌پذیری را برطرف کند. پس از ۹۰ روز، این آسیب‌پذیری افشای عمومی می‌شود. اینکه این آسیب‌پذیری وصله شده یا خیر به مسئولیت‌پذیری شرکت سازنده محصول برمی‌گردد و برای افشای آسیب‌پذیری نمی‌توان گوگل را شماتت کرد.

در چارچوب این سیاست گوگل، دو هفته پیش آسیب‌پذیری وصله نشده‌ای روی کتابخانه رابط کاربری ابزار‌های گرافیکی ویندوز افشا شد که سیستم‌عامل‌های ویندوزی از ویندوز ویستا تا آخرین نسخه ویندوز ۱۰ را شامل می‌شد.

هنوز این آسیب‌پذیری هنوز وصله نشده که باز هم گوگل آسیب‌پذیری جدید دیگری را افشا نمود. این آسیب‌پذیری این بار دامن‌گیر مرورگرهای مایکروسافت شد. این آسیب‌پذیری که شناسه بین‌المللی آن CVE-2017-0037 است توسط تیم پروژه صفر گوگل افشا شد. این آسیب‌پذیری که به نام "ضعف درهم ریختگی نوع" هم شناخته می‌شود در دو مرورگر Internet Explorer و Edge مایکروسافت قرار دارد و باعث می‌شود مهاجمان توانایی اجرای خودسرانه کد اجرایی را داشته باشند. این آسیب‌پذیری روی ویندوزهای ۷، ۸.۱ و ۱۰ وجود دارد.

این تیم تحقیقاتی یک کد اکسپلویت هم به عنوان اثبات این آسیب‌پذیری ارائه نموده‌اند که با اجرای آن مرورگر‌های IE و Edge از کار می‌افتند. این آسیب‌پذیری به هکر‌ها اجازه می‌دهد که کنترل کامپیوتر قربانی را به دست بگیرند.

آسیب‌پذیری‌های فاش وصله نشده!

این آسیب‌پذیری در ۲۵ نوامبر به مایکروسافت اعلام شده و پس از سه ماه در ۲۵ فوریه افشای عمومی شده است. این مسئولیت مایکروسافت است که این آسیب‌پذیری‌ها را وصله کند. اما متاسفانه در این زمینه مایکروسافت مسئولانه عمل نکرده و غیر از این آسیب‌پذیری، دو آسیب‌پذیری خطرناک وصله نشده هنوز وجود دارد.

آسیب‌پذیری SMB که در ویندوز‌های ۸، ۱۰ و ویندوز سرور وجود دارد دو هفته پیش افشا شده ولی تاکنون وصله نشده است. همچنین آسیب‌پذیری دیگری که توسط گوگل فاش شده بود که ویندوز‌های ویستا تا ویندوز ۱۰ را تحت تاثیر قرار می‌دهد هم هنوز وصله نشده است.

با این اوصاف، برای حفظ امنیت، کاربرانی که از سیستم عامل ویندوز استفاده می‌کنند تا حد امکان از مرورگرهای IE و Edge استفاده نکنند و اگر در شرایطی مجبور به استفاده از این مرورگر‌ها هستند از کلیک بر روی لینک‌های ناشناخته و مراجعه به وب‌سایت‌های مشکوک خودداری کنند.

مطالب مرتبط