دعوای مایکروسافت و گوگل بر سر افشای وجود یک آسیبپذیری
به گزارش شرکت مهندسی شبکه گستر، شرکت مایکروسافت اعلام کرده که اصلاحیه آسیبپذیری کشف شده جدیدی که جزییات آن را گوگل 10 روز پس از اعلام به این شرکت، بصورت عمومی منتشر کرده، روز سهشنبه، 18 آبان ماه – به همراه اصلاحیههای ماهانه خود – عرضه خواهد کرد.
مایکروسافت از تصمیم گوگل در اعلام عمومی وجود آسیبپذیری پیش از عرضه اصلاحیه آن بشدت انتقاد کرده و آن را عاملی برای کاهش امنیت کارابران خوانده است.
از سویی دیگر، گوگل گفته که با توجه به سوءاستفاده مهاجمان از این آسیبپذیری تصمیم گرفته تا بر اساس سیاست سال 2013 این شرکت که افشای ضعف امنیتی 7 روز پس از اعلام به شرکت سازنده مجاز میداند عمل کند.
گوگل که این آسیبپذیری را روز دوشنبه 10 آبان ماه اعلام عمومی کرد، وجود آن را در 30 مهر ماه به مایکروسافت اطلاع داده بود.
مهاجم میتواند با بهرهجویی از این ضعف امنیتی در سیستم عامل Windows اقدام به ترفیع امتیازی (Privilege Escalation) حق دسترسی خود بر روی سیستم هدف کند.
همچمنین گوگل در 30 مهر ماه ضعفی امنیتی در Flash Player را به شرکت Adobe گزارش کرد. Adobe این آسیبپذیری را 5 آبان ماه ترمیم کرد.
این نخستین بار نیست که دو شرکت گوگل و مایکروسافت بر سر انتشار خبر وجود ضعف امنیتی با یکدیگر اختلاف نظر دارند. برای مثال در اوایل سال 2015 مایکروسافت از گوگل بخاطر انتشار یک آسیبپذیری پیش از عرضه اصلاحیه آن شکایت کرد.
حتی قبل از آن و در سال 2010، یک مهندس امنیت گوگل، تنها 5 روز پس از اعلام یک آسیبپذیری به شرکت مایکروسافت آن را علنی کرد.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت مایکروسافت، گروه مهاجم Strontium که توسط برخی شرکتهای دیگر با نام های APT28 و Fancy Bear معرفی شده از این ضعف امنیتی بهرهجویی میکرده است. این گروه متهم به هک کمیته ملی حزب دموکرات آمریکا در سال جاری و هدف قرار دادن سازمانهای دولتی، نظامی و سیاسی در نقاط مختلف دنیا است.
ماه گذشته مقامات آمریکا برخی مقامات ارشد دولت روسیه را مسئول هک کمیته ملی حزب دموکرات آمریکا را دانستند.