انتشار یک ابزار نرمافزاری از سوی یکی از کارشناسان شرکت Google که قادر است نزدیک به 100 حفره امنیتی در مرورگر IE را نشان بدهد، باعث اعتراض شدید مسئولان شرکت مایکروسافت شده است.
یک کارشناس امنیتی شرکت Google یک ابزار نرمافزاری به نام Cross Fuzz را بطور عمومی منتشر کرده که میتواند حدود 100 نقطه ضعف امنیتی در مرورگر IE را شناسایی کرده و نشان دهد. این ابزار تابستان امسال در اختیار شرکت مایکروسافت گذاشته شد تا فرصت مناسبی برای بررسی و رفع حفرههای امنیتی شناسایی شده توسط این ابزار را داشته باشد. ولی طبق گفته کارشناس Google، کارشناسان مایکروسافت تا هفته گذشته، هیچ تماسی با وی نداشته و اقدامی نیز در ارتباط با ابزار Cross Fuzz انجام ندادهاند. پس وی اقدام به انتشار عمومی آن کرده است تا بلکه شرکت مایکروسافت تحت فشار قرار گرفته و اقدامی صورت دهد.
از طرف دیگر، شرکت مایکروسافت اقدام این کارشناس را غیر مسئولانه خوانده و روایت دیگری از این ماجرا را بیان میکند. به گفته مسئولان مایکروسافت، نسخهای که تابستان از ابزار Cross Fuzz در اختیار این شرکت قرار داده شده است، با نسخه فعلی که بصورت عمومی منتشر شده، متفاوت بوده و نسخه اولیه این ابزار، هیچیک از حفرههای امنیتی را که توسط نسخه ارتقاء یافته دوم، شناسایی میشوند، نشان نداده است.
کارشناس Google به همراه انتشار این ابزار، جزئیات سوءاستفاده از یکی از حفرههای امنیتی را که توسط همین ابزار شناسایی میشود، منتشر کرده است. به گفته این کارشناس، این حفره امنیتی بطور مستقل و جداگانه توسط نفوذگران چینی شناسایی شده و مورد سوءاستفاده قرار گرفته است. این حفره امنیتی در مرورگر IE8 بر روی سیستم عامل Win XP SP3 به آسانی قابل سوءاستفاده است و پیشبینی میشود که بر روی سیستمهای عامل جدیدتر نیز قابل سوءاستفاده باشد. وجود این حفره از سوی چند شرکت امنیتی نیز مورد تأیید قرار گرفته است.
ابزار نرمافزاری Cross Fuzz قادر به شناسایی حفرههای امنیتی در انواع مرورگرها است. پس این ابزار در اختیار شرکتهایی مانند Google، Mozilla و Apple نیز گذاشته شده و آنها در فرصت داده شده، به بسیاری از حفرههای امنیتی شناسایی شده توسط این ابزار، رسیدگی کردهاند.
این اولین باری نیست که دو شرکت مایکروسافت و Google بر سر نحوه انتشار و اعلام حفرههای امنیتی با یکدیگر درگیر میشوند. سال گذشته میلادی، حداقل در دو مورد، کارشناسان Google بدون هماهنگی با شرکت مایکروسافت و به دلیل یا بهانه عدم اقدام مایکروسافت در یک فرصت قابل قبول، اقدام به انتشار جزئیات حفرههای امنیتی در سیستم عامل Windows و مرورگر IE کردند.