مایکروسافت به دنبال راه حل فوری
بعد از سوءاستفاده های گسترده اخیر از نقاط ضعف کشف شده در انواع نرم افزارهای شرکت مایکروسافت، این شرکت با جدیت و سرعت هر چه بیشتر به دنبال یافتن راه حل هایی فوری و کوتاه مدت برای مقابله و جلوگیری از این سوءاستفاده ها است. راه حل موقتی که به آسانی قابل مدیری و همچنین پاسخی به انتقادات، در انتشار دیر هنگام اصلاحیه های امنیتی و ضروری باشد.
فناوری Fix-it که مدتی است در سیستم مدیریت اصلاحیه های مایکروسافت بکار گرفته شده است، پایه و اساس فعالیت های اخیر مایکروسافت در مکانیزه کردن و مدیریت این راه حل های فوری و موقت امنیتی است. برنامه هایی که براساس فناوری Fix-it تهیه می شوند، محافظت فوری در برابر سوءاستفاده ها و تهدیدات امنیتی ناشی از نقاط ضعف نرم افزارهای مایکروسافت، ایجاد خواهند کرد تا زمانی که اصلاحیه اصلی برای ترمیم آن نقطه ضعف خاص تهیه و منتشر شود.
برنامه های Fix-it دارای قالب MSI هستند و با نصب آنها، Registry به نحوی تنظیم می شود که بخش های ActiveX آسیب پذیر غیرفعال شوند. با عرضه این برنامه ها در قالب فایل های MSI، امکان نصب، نگهداری و حذف برنامه های Fix-it به راحتی برای مدیران شبکه فراهم می شود.
از ابتدای سال میلادی جاری، شرکت مایکروسافت بیش از 300 برنامه Fix-it تهیه و منتشر کرده است. ولی اغلب این برنامه ها برای اصلاح موارد ساده و غیر امنیتی، مانند اضافه کردن یک short-Cut به Desktop، بوده اند. تنها در طی هفته های گذشته، شاهد بوده ایم که برنامه های Fix-it با اهداف امنیتی تهیه و ارائه شده اند.
یقیناً بدین روش، امکان مهار و کنترل تمام نقاط ضعف وجود ندارد ولی در مواردی که فعال یا غیرفعال ساختن بخش هایی از یک نرم افزار، می تواند در مهار یک تهدید امنیتی مؤثر باشد، روش Fix-it بسیار سریع و مفید است. به عنوان مثال، هفته گذشته، شرکت مایکروسافت با ارائه یک Fix-it، امکانات ActiveX را در بخش هایی از نرم افزار Office غیرفعال ساخت. بدین ترتیب، امکان سوءاستفاده از این بخش های آسیب پذیر را مسدود کرد تا زمانی که بتواند اصلاحیه امنیتی مناسبی برای ترمیم آنها ارائه کند.
همچنین اصلاحیه شماره MS09-032 این ماه، مجموعه ای از برنامه های Fix-it هستند. یکی از اشکالات اصلی در استفاده از برنامه های Fix-it، نحوه اعمال آن در شبکه است. این برنامه های کوچک باید بطور دستی و از طریق سایت مایکروسافت بر روی هر کامپیوتر، بطور جداگانه اعمال شوند. طراحی اولیه فناوری Fix-it نیز براساس سرویس دهی به کاربران و مشتریان خاص مایکروسافت بوده است. البته اخیراً برخی از شرکت ها، راه حل ها و ابزارهایی برای مکانیزه کردن Fix-it ابداع و عرضه کرده اند.
در حال حاضر، مایکروسافت اجازه دریافت فایل های Fix-it را از سایت خود می دهد تا مدیران شبکه بتوانند آن را در شبکه خود توزیع و نصب کنند، بدون آنکه نیازی به دخالت مستقیم کاربر باشد. یکی دیگر از مشکلات این برنامه های Fix-it، مسئله ثبت وقایع (log) و گزارش گیری از عملکرد این برنامه ها است. در حال حاضر به سختی می توان از نصب موفقیت آمیز این برنامه ها، اطمینان حاصل کرد.
شرکت مایکروسافت قبول دارد که در این فناوری تازه وارد است ولی راهی را که انتخاب کرده، صحیح است و ادامه خواهد داد. ناگفته نماند که رسیدگی سریع به نقاط ضعف امنیتی کشف شده، تنها مشکل شرکت مایکروسافت نیست. شرکت هایی مانند Google که اخیراً خبر از عرضه سیستم عامل خود به نام Chrome OS داد و یا موسسه Mozilla که مرورگر Firefox را ارائه می کند، همگی با این موضوع دست به گریبان بوده و هر یک به دنبال راه حلی هستند.