دعوای مایکروسافت و گوگل بر سر حفره‎های امنیتی

 انتشار یک ابزار نرم‎افزاری از سوی یکی از کارشناسان شرکت Google که قادر است نزدیک به 100 حفره امنیتی در مرورگر IE را نشان بدهد، باعث اعتراض شدید مسئولان شرکت مایکروسافت شده است.

  یک کارشناس امنیتی شرکت Google یک ابزار نرم‎افزاری به نام Cross Fuzz را بطور عمومی منتشر کرده که می‎تواند حدود 100 نقطه ضعف امنیتی در مرورگر IE را شناسایی کرده و نشان دهد. این ابزار تابستان امسال در اختیار شرکت مایکروسافت گذاشته شد تا فرصت مناسبی برای بررسی و رفع حفره‎های امنیتی شناسایی شده توسط این ابزار را داشته باشد. ولی طبق گفته کارشناس Google، کارشناسان مایکروسافت تا هفته گذشته، هیچ تماسی با وی نداشته و اقدامی نیز در ارتباط با ابزار Cross Fuzz انجام نداده‎اند. پس وی اقدام به انتشار عمومی آن کرده است تا بلکه شرکت مایکروسافت تحت فشار قرار گرفته و اقدامی صورت دهد.

از طرف دیگر، شرکت مایکروسافت اقدام این کارشناس را غیر مسئولانه خوانده و روایت دیگری از این ماجرا را بیان می‎کند. به گفته مسئولان مایکروسافت، نسخه‎ای که تابستان از ابزار Cross Fuzz در اختیار این شرکت قرار داده شده است، با نسخه فعلی که بصورت عمومی منتشر شده، متفاوت بوده و نسخه اولیه این ابزار، هیچیک از حفره‎های امنیتی را که توسط نسخه ارتقاء یافته دوم، شناسایی می‎شوند، نشان نداده است.

 کارشناس Google به همراه انتشار این ابزار، جزئیات سوءاستفاده از یکی از حفره‎های امنیتی را که توسط همین ابزار شناسایی می‎شود، منتشر کرده است. به گفته این کارشناس، این حفره امنیتی بطور مستقل و جداگانه توسط نفوذگران چینی شناسایی شده و مورد سوءاستفاده قرار گرفته است. این حفره امنیتی در مرورگر IE8 بر روی سیستم عامل Win XP SP3 به آسانی قابل سوءاستفاده است و پیش‎بینی می‎شود که بر روی سیستم‎های عامل جدیدتر نیز قابل سوءاستفاده باشد. وجود این حفره از سوی چند شرکت امنیتی نیز مورد تأیید قرار گرفته است.

 ابزار نرم‎افزاری Cross Fuzz قادر به شناسایی حفره‎های امنیتی در انواع مرورگرها است. پس این ابزار در اختیار شرکت‎هایی مانند Google، Mozilla و Apple نیز گذاشته شده و آنها در فرصت داده شده، به بسیاری از حفره‎های امنیتی شناسایی شده توسط این ابزار، رسیدگی کرده‎اند.

 این اولین باری نیست که دو شرکت مایکروسافت و Google بر سر نحوه انتشار و اعلام حفره‎های امنیتی با یکدیگر درگیر می‎شوند.  سال گذشته میلادی، حداقل در دو مورد، کارشناسان Google بدون هماهنگی با شرکت مایکروسافت و به دلیل یا بهانه عدم اقدام مایکروسافت در یک فرصت قابل قبول، اقدام به انتشار جزئیات حفره‎های امنیتی در سیستم عامل Windows و مرورگر IE کردند.