Microsoft تنتقد Google بسبب قيام أحد الباحثين الأمنيين لديها بنشر تفاصيل ثغرة أمنية مع الاستغلال قبل تصحيحها

الوقت المقدّر لقراءة هذا المقال: 3 دقيقة و 39 ثانية

Microsoft تنتقد Google بسبب قيام Tavis بنشر تفاصيل ثغرة أمنية مع الاستغلال قبل تصحيحها

قام Tavis Ormandy أحد الباحثين الأمنيين العاملين لدى شركة Google بنشر تفاصيل استغلال ثغرة لم يتم نشر تصحيح أمني لها من قبل Microsoft بعد أن قام بإبلاغهم بها بتاريخ 5 حزيران/يونيو أي منذ 5 أيام مضت.

Microsoft لم تفوت هذه الفرصة أبداً حيث أبدت انزعاجها وانتقدت تصرف Tavis دون أن تفصل بين نشاطه الخاص وعمله لدى Google فوجدتها فرصة للتلويح بالمضرب تجاه Google أيضاً.

من جهته أعلن Tavis أن ما قام به ينعكس عليه وحده بشكل شخصي ولا يجب أن يتم إقحام الشركة التي يعمل بها في هذا الأمر.. لكن هيهات يا Tavis – فكونك أحد الرموز الشهيرة في عالم الأمن والحماية كان عليك أن تعلم مسبقاً أن Microsoft لن توفر الفرصة لانتقاد Google أبداً والتي صرحت على لسان Mike Reavey – مدير مركز الأمن الوقائي لدى Microsoft – بأنه تم إعلامهم بالمشكلة بتاريخ 5 حزيران الماضي من قبل “أحد الباحثين الأمنيين لدى Google” ومن ثم تم الإعلان عنها في أقل من 4 أيام بتاريخ 9 حزيران/يونيو، وأضافت

الإعلان عن تفاصيل هذه الثغرة وكيفية استغلالها، بدون منحنا وقتا كافيا لحل المشكلة لعملائنا المهددين بها، يجعل من الهجمات المحتملة واقعاً أكبر ويضع المستخدمين في خطر.

أما Google فلم يكن لديها سوى اتباع ذات السيناريو الذي اتبعه Tavis حيث أعلنت في تصريح لـ CNet أن

Tavis تصرف بشكل منفرد في هذا الموضوع من خلال نشره لبحث قام بإجراءه في وقته الخاص. رأي Tavis الشخصي حول الثغرة وضرورة الإعلان عنها لا يعبر بالضرورة عن رأي زملائه في Google أو Google بحد ذاتها.

المواقع المختصة على الانترنت والنشرات البريدية الأمنية تناقلت تفاصيل هذه الثغرة التي دارت حولها كل هذه الجلبة والتي تصيب نظامي Windows XP و Windows Server 2003.

تعمل Microsoft حالياً على حل المشكلة وإصدار ترقيع أمني رسمي لها – أما في الوقت الراهن فقد أعلن Tavis عن عدة إجراءات وقائية يمكن للمستخدمين القيام بها مؤقتاً ريثما يتم حل المشكلة (أي أنه طرح الداء والدواء) وذكر في النص الذي كتبه أن معالجات البروتوكول Protocol handlers هي مصدر مشهور للمشاكل الأمنية، وبروتوكول hcp بحد ذاته كان هدفاً للكثير من الهجمات فيما مضى.

لقراءة المزيد من التفاصيل حول الخبر يمكن زيارة هذا الرابط أما لمتابعة التفاصيل التقنية للمشكلة والاستغلال الخاص بها فيمكن مراجعة هذا الرابط.

– هل فعلا كانت Microsoft لتصدر ترقيعا للثغرة بسرعة لو لم يتم نشر تفاصيلها، و هي المعروفة بتراخيها في إصدار الترقيعات؟


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • Microsoft قامت بنشر سكربت Fix it كإجراء وقائي يقوم بتعطيل جميع الروابط التي تستخدم البروتوكول HCP
    (أي أن الروابط بالشكل hcp://… لن تعمل بعد تشغيل السكربت – لكن يمكن في أي وقت إزالته وإعادة الوضع لما كان عليه)

    ننصح جميع القراء بتعطيل بروتوكول HCP إلى أن يتم إصدار ترقيع رسمي للثغرة وذلك بسبب خطورتها على أمن وسلامة بياناتكم.

    يمكن الحصول على السكربت من خلال الرابط:
    http://support.microsoft.com/kb/2219475