جدال گوگل و مایکروسافت بر سر کشف و اصلاح نقاط ضعف

در روزهای گذشته، جدال جدیدی بین دو شرکت بزرگ گوگل و مایکروسافت بر سر نقاط ضعف جدید و تاکنون ناشناخته در گرفته است. از یکطرف گوگل اقدام به انتشار عمومی جزئیات نقاط ضعف جدید در محصولات مایکروسافت می کند و از طرف دیگر مایکروسافت آنها را بی ارزش یا کم ارزش دانسته و  به صراحت از عرضه اصلاحیه برای ترمیم آنها خودداری می نماید.

مقابله دو شرکت بر سر نقاط ضعف کشف شده توسط گوگل، از حدود یکماه قبل آغاز شد. شرکت گوگل طبق سیاست های بخش امنیتی Project Zero خود، پس از یک فرصت 90 روزه به شرکت مایکروسافت، اقدام به انتشار جزئیات دو نقطه ضعف در سیستم عامل Windows کرد، در حالیکه چند روز بعد، شرکت مایکروسافت طبق برنامه ماهانه خود، آن دو ضعف را با اصلاحیه های امنیتی ماه میلادی ژانویه برطرف کرد.

شرکت مایکروسافت آن زمان به گوگل معترض شد که چرا و به چه دلیلی حاضر شده است کاربران را در معرض خطر قرار دهد و چند روز برای انتشار اصلاحیه هایی که آن دو ضعف را ترمیم می کردند، صبر نکرده است.

دوباره در چند روز گذشته، شرکت گوگل همین جدال را ادامه داده و نه تنها یک یا دو نقطه ضعف جدید، بلکه جزئیات 5 نقطه ضعف جدید و تاکنون ناشناخته را در Windows اعلام عمومی کرده است. ابتدا دو نقطه ضعف و به فاصله یک روز، سه نقطه ضعف بعدی بر روی سایت Project Zero منتشر شده است.

شرکت مایکروسافت در اطلاعیه های جداگانه ای، تنها یک مورد از پنج نقطه ضعف اعلام شده از سوی گوگل را تهدید امنیتی جدی دانسته که ارزش ارائه اصلاحیه داشته باشد. سوء استفاده از این تنها مورد، به نفوذگر اجازه می دهد که هویت یک کاربر مجاز را جعل کرده و بتواند بر روی دستگاههای Windows 7/8.1 داده های سیستم را رمزگذاری و یا رمزگشایی نماید. مایکروسافت قصد ترمیم این ضعف را در اصلاحیه های ماهانه ماه بعد دارد.

نقطه ضعف دیگری که گوگل افشا کرده است می تواند اطلاعاتی درباره تنظیمات برق کامپیوتر (Power Settings) را در اختیار افراد غیرمجاز قرار دهد. نه تنها شرکت مایکروسافت، بلکه خود گوگل نیز اعتقاد دارد که این نقطه ضعف نمی تواند جنبه امنیتی داشته باشد و یک تهدید به شمار نمی آید. شرکت مایکروسافت قول داده است که در آینده از طریق اصلاحیه های غیرامنیتی خود، این مورد را اصلاح کند.

سه نقطه ضعف دیگر که از سوی گوگل منتشر شده اند با برخورد بسیار سرد و بی تفاوت مایکروسافت روبرو شده اند. مایکروسافت در اطلاعیه ای به صراحت اعلام کرد که این سه نقطه ضعف مشخصه های لازم را برای انتشار اصلاحیه جهت ترمیم ندارند. به اعتقاد مایکروسافت جهت سوء استفاده از این سه نقطه ضعف، فرد نفوذگر و یا مهاجم باید اختیارات زیادی داشته باشد و در عمل و واقعیت چنین شرایطی به وجود نمی آید. لذا کاربران Windows از بابت این سه نقطه ضعف در معرض خطر قرار ندارند.

تمام این نقاط ضعف جدید که اخیراً توسط بخش امنیتی Zero Project در شرکت گوگل کشف و شناسایی شده اند، کار یک کارشناس امنیتی به نام James Forshaw است که از تابستان سال جاری به استخدام گوگل در آمده است. این کارشناس به دفعات از شرکت مایکروسافت به خاطر کشف نقاط ضعف جدید و ناشناخته و یا نشان دادن راهکارهای امنیتی جدید به مایکروسافت از این شرکت جایزه و پاداش دریافت کرده است. Foreshaw از جمله افرادی است که بارها در مسابقات هک موفق به دریافت جوایزی از شرکتهای تولیدکننده نرم افزار شده است.