دوباره گوگل یک آسیب‌پذیری مربوط به مایکروسافت را فاش کرد.

مایکروسافت مجدداً برای منتشر نکردنِ به‌موقع یک وصله برای یک آسیب‌پذیری کشف شده، خجالت‌زده شد.

تیم پروژه Zero که متعلق به گوگل است، یک آسیب‌پذیری را به صورت عمومی و به همراه بهره‌بردار POC برای آن فاش کرد که بر روی سیستم‌عامل‌های ویندوز مایکروسافت از نسخه‌ ویندوز ویستا (سرویس پک ۲) تا آخرین نسخه یعنی ویندوز ۱۰ اثرگذار بوده و همچنان نیاز به وصله شدن دارد[۱].

چند ماه قبل نیز این غول موتور جستجو، یک آسیب‌پذیری دیگر را ۱۰ روز پس‌ازآنکه آسیب‌پذیری موردنظر را به مایکروسافت گزارش داده بود، به صورت عمومی منتشر کرد[۲].

اگرچه، این بار گوگل این آسیب‌پذیری کشف شده در ویندوز را پس از ۹۰ روز که مایکروسافت نتوانست این آسیب‌پذیری را برطرف کند، به صورت عمومی فاش کرد.

عضو تیم پروژه Zero به نام Mateusz Jurczyk مسئولیت گزاش آسیب‌پذیری کشف شده را به مایکروسافت بر عهده داشته است. این آسیب‌پذیری در کتابخانه رابط دستگاه گرافیک^(۱) ویندوز قرار داشته است و در تاریخ ۹ ژوئن سال ۲۰۱۶ به تیم امنیتی مایکروسافت گزارش شده بود.

این آسیب‌پذیری بر روی هر برنامه‌ای که از این کتابخانه استفاده می‌کند تأثیرگذار است و اگر مورد بهره‌برداری قرار گیرد می‌تواند به مهاجمان اجازه دهد تا داده‌های موجود بر روی حافظه را بدزدند.

هنگامی‌که مایکروسافت یک وصله را برای این آسیب‌پذیری در تاریخ ۱۵ ژوئن ۲۰۱۶ منتشر کرد[۳]، این شرکت مشکل به وجود آمده در کتابخانه GDI را برطرف نکرده بود و این امر محققان تیم Zero را مجبور کرد تا اثبات ادعای مربوط به این آسیب‌پذیری را در تاریخ ۱۶ نوامبر ۲۰۱۶ به مایکروسافت گزارش کنند.

Jurczyk  در یک گزارش جدید این‌گونه نوشته است[۴]: “به‌عنوان یک نتیجه، این امکان وجود دارد که بایت‌های heap مقداردهی نشده یا خارج از محدود از طریق رنگ‌های پیکسل در Internet Explorer و دیگر کلاینت‌های GDI فاش شوند که این امر منجر به استخراج داده‌های عکس نمایش داده برای مهاجم می‌شود.”

در حال حاضر و پس از دادن مهلت ۳ ماهه به این شرکت، گوگل جزئیات این آسیب‌پذیری را به صورت عمومی فاش کرد.

تیم پروژه Zero شرکت گوگل (شامل هکرهای حرفه‌ای که توسط گوگل استخدام شده‌اند برای اینکه از اینترنت محافظت کنند) به‌طورمعمول سوراخ‌های امنیتی را در نرم‌افزارهای مختلف کشف کرده و به سازندگان این نرم‌افزارها گزارش می‌دهند و به آن‌ها مهلتی ۹۰ روزه برای برطرف کردن عیب موردنظر و انتشار وصله و ارائه گزارش آسیب‌پذیری موردنظر را می‌دهند. اگر در طی این دوره توسط شرکت موردنظر وصله مربوطه منتشر نشود، این تیم به صورت خودکار آسیب‌پذیری موردنظر را با ارائه جزئیات کامل و به صورت عمومی منتشر می‌کند.

اگرچه کاربران ویندوز نباید دچار نگرانی در ارتباط با این آسیب‌پذیری شوند، چراکه مهاجم جهت بهره‌برداری از این آسیب‌پذیری، نیاز به دسترسی فیزیکی به ماشین میزبان دارد. بااین‌حال شرکت مایکروسافت باید هر چه زودتر و قبل از ایجاد شدن بهره‌بردارهای مربوط به آن، وصله مربوط به این آسیب‌پذیری را منتشر کند.

مایکروسافت اخیراً در انتشار وصله‌های امنیتی ماهیانه خود در ماه فوریه (که باید در روز سه‌شنبه ۱۴ فوریه ۲۰۱۶ منتشر می‌شد) به دلیل مشکل لحظه آخریِ به وجود آمده که می‌توانست بر روی بعضی از مشتریان تأثیر بگذارد و به‌موقع برطرف نشده بود، تأخیر داشت[۵].

بنابراین اگر وصله اضطراری دیگری برای این ماه مورد نیاز نباشد، این آسیب‌پذیری به مدت ۱ ماه در دسترس مهاجمان قرار خواهد داشت تا مورد بهره‌برداری قرار گیرد، دقیقه مانند مورد مشابه که توسط مهاجم روسی مورد بهره‌برداری قرار گرفت که مربوط به یک اشکال در هسته ویندوز بود که وصله نشده بود و کاربران ویندوز را در معرض خطر قرار داد.

منابع

[۱] https://bugs.chromium.org/p/project-zero/issues/detail?id=992

[۲] https://apa.aut.ac.ir/?p=1820

[۳]https://technet.microsoft.com/library/security/MS16-074?ranMID=24542&ranEAID=TnL5HPStwNw&ranSiteID=TnL5HPStwNw-fFdaFu28wiYRflZp0RBrgQ&tduid=(0e897dd59a821d366af8020c1a628d36)(256380)(2459594)(TnL5HPStwNw-fFdaFu28wiYRflZp0RBrgQ)()

[۴] https://bugs.chromium.org/p/project-zero/issues/detail?id=992

[۵]https://blogs.technet.microsoft.com/msrc/2017/02/14/february-2017-security-update-release/

[۶] http://thehackernews.com/2017/02/google-windows-vulnerability.html

(۱) Graphics Device Interface (GDI)