info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

۹۰+۱۴ روز بی نتیجه برای رفع باگ ویندوز ۱۰

خلاصه: در ژانویه سال ۲۰۱۸ یک محقق از گوگل، باگی در ویندوز ۱۰ را گزارش کرد که به مهاجم امکان دور زدن ویژگی امنیتی ویندوز ۱۰ را می‌داد. مهلت ۹۰ روزه برای رفع این نقص تمام شد، و علی‌رغم درخواست‌های متعدد مایکروسافت برای اجتناب از افشای عمومی آن، مهلت وصله‌کردن این باگ افزایش نخواهد یافت. با توجه به گزارش منتشر شده توسط محققان، این آسیب‌پذیری با شدت متوسط، می‌تواند به یک مهاجم اجازه‌ی اضافه‌ کردن کلیدهای رجیستری را بدهد.

در ژانویه سال ۲۰۱۸ یک محقق از گوگل، باگی در ویندوز ۱۰ S را گزارش کرد که به مهاجم امکان دور زدن ویژگی امنیتی ویندوز ۱۰ را می‌داد. مهلت ۹۰ روزه برای رفع این نقص تمام شد، و علی‌رغم درخواست‌های متعدد مایکروسافت برای اجتناب از افشای عمومی آن، مهلت وصله‌کردن این باگ افزایش نخواهد یافت.

با توجه به گزارش منتشر شده توسط محققان، این آسیب‌پذیری با شدت متوسط، می‌تواند به یک مهاجم اجازه‌ی اضافه‌ کردن کلیدهای رجیستری را بدهد. محققان دو فایل به‌عنوان کد اثبات مفهومی، را فراهم کرده‌اند که از یک ابزار DotNetToJscript استفاده می‌کند. این ابزار برای فعال‌کردن اجرای کد دلخواه استفاده می‌شود، و این درواقع همان چیزی است که ویندوز ۱۰ به‌طور خاص برای جلوگیری از آن طراحی شده است.

به‌گفته‌ی کارشناسان این نقص فقط سیستم‌هایی که Device Guard بر روی آن‌ها فعال است را تحت تاثیر قرار می‌دهد و فقط به‌عنوان یک راه برای اجرای کد پایدار بر روی یک ماشین می‌باشد.

برای بهره‌برداری از این مشکل، مهاجم باید کد درحال اجرایی بر روی ماشین داشته باشد. مهاجم می‌تواند این کار را با استفاده از بهره‌برداری از یک باگ اجرای کد از راه دور دیگر در Microsoft Edge انجام دهد.

این دو غول تکنولوژی، سابقه‌ی رقابت طولانی دارند و این اولین باری نیست که گوگل درخواست مایکروسافت برای فرصت بیشتر را رد کرده است. در سال ۲۰۱۶ نیز مایکروسافت گوگل را بعد از افشای عمومی یک باگ (تنها ۱۰ روز پس از گزارش آسیب‌پذیری ویندوز)، برای قرار دادن مشتریان در معرض خطر، مورد نکوهش قرار داد.

در این مورد نیز این ۹۰ روز قبل از اینکه مایکروسافت بتواند یک آسیب‌پذیری امنیتی در Microsoft Edge را وصله کند گذشت. اگرچه گوگل ۱۴ روز اضافی به مایکروسافت اعطا کرد، اما رفع باگ مشکل‌تر از آن بود که مایکروسافت پیش‌بینی می‌کرد.

اگرچه زمانبندی استاندارد Project Zero برای حل یک مسئله ۹۰ روز است، اما موراد خاصی هم وجود دارد که یک دوره‌ی اضافی به توسعه‌دهنده اعطا می‌شود، که این مورد بیشتر برای زمانی است که رفع یک آسیب‌پذیری مشکل باشد.

 

مطالب مرتبط