سکوت مایکروسافت درباره حفره امنیتی DLL

پس از گذشت بیش از یک هفته از اعلام کشف حفره امنیتی در بسیاری از نرم افزارهای تحت Windows به دلیل      عدم دسترسی صحیح آنها به فایل های DLL، شرکت مایکروسافت همچنان درباره آسیب پذیر بودن محصولات خود سکوت کرده است.

حفـره امنیتی مورد بحث مربوط به نحوه دستـرسی به فایل های DLL در بسیاری از نرم افزارها می شود. در این   نرم افزارها بدون مشخص کردن مسیر فایل DLL مورد نظر، فقط به ذکر نام فایل اکتفا شده است. سیستم عامل Windows نیز شاخه های تعیین شده خاصی را برای پیدا کردن فایل های DLL درخواستی، جستجو می کند. بدین ترتیب می توان با قرار دادن فایل های همنام ولی مخرب و آلوده در این شاخه های خاص، باعث اجرای ناخواسته این فایلها توسط بسیاری از نرم افزارهای کاربردی شد.

گرچه شرکت مایکروسافت نرم افزارهای آسیب پذیر خود را رسماً اعلام نکرده است ولی آزمایش های صورت گرفته توسط افراد و گروه های کارشناس، نشان می دهد که حداقل نرم افزارهای Office 2007 / 2010، Address Book، Windows Contact و Windows Live Mail جزو نرم‏افزارهایی هستند که مشکل فایل DLL را دارند.

البته شرکت مایکروسافت در همان روزهای اول که خبر وجوداین حفره امنیتی منتشر شد، ابزاری برای جلوگیری از اجرای فایل های DLL از برخی مسیر ها، نظیر حافظه های USB Flash و سایت های اینترنتی، ارائه نمود. اکنون نیز این ابزار را بصورت خودکار در آورده و در اختیار همگان قرار داده است. بدین ترتیب با نصب این ابزار خودکار، دریافت و اجرای فایل های DLL از طریق پروتکل SMB و WebDAV (دو راه از رایج ترین راه های نفوذ و حمله) امکان پذیر نخواهد بود.

در روزهای اخیر، برخی از تولید کنندگان نرم افزارهای تحت Windows با انتشار اصلاحیه هایی، نرم افزارهای آسیب پذیر خود را اصلاح نموده اند. برخی دیگر نیز مانند موسسه Mozilla اعلام کرده که در حال تهیه نسخه جدیدی از مرورگر Firefox است تا مشکل DLL را در آن برطرف کند.
شرکت مایکروسافت در نظر دارد طی هفته های آینده ابزار کمکی ارائه شده خود را از طریق سرویس بروز رسانی WSUS بر روی شبکه های شرکت ها و موسسات نصب کند و احتمالاً این ابزار را از طریق سیستم بروز رسانی خودکار سیستم عامل Windows نیز بر روی کامپیوتر کاربران عادی نصب خواهد نمود.
بدین ترتیب بنظر می رسد که نباید در آینده ای نزدیک انتظار ارائه اصلاحیه ای از سوی مایکروسافت، برای برطرف کردن این حفره امنیتی، را داشته باشیم. فعلاً بهترین و شاید تنها روش، نصب و استفاده از ابزار کمکی مایکروسافت باشد.

نسخه جدید و خودکار این ابزار در نشانی زیر قابل دسترسی است. http://Support.microsoft.com/Kb/2264107