نشر توسط:admin Views 25 تاریخ : 19 فروردين 1395 نظرات ()
این ابزار تابستان امسال در اختیار شرکت مایکروسافت گذاشته شد تا فرصت مناسبی برای بررسی و رفع حفرههای امنیتی شناسایی شده توسط این ابزار را داشته باشد.
اما بنا بر اعلام کارشناس گوگل، کارشناسان مایکروسافت تا هفته گذشته، هیچ تماسی با وی که به عنوان یکی از برترین کارشناسان امنیتی دنیا شناخته میشود، نداشته و اقدامی نیز در ارتباط با ابزار Cross Fuzz انجام ندادهاند. پس وی اقدام به انتشار عمومی آن کرده است تا بلکه شرکت مایکروسافت تحت فشار قرار گرفته و اقدامی صورت دهد.
از طرف دیگر، شرکت مایکروسافت اقدام این کارشناس را غیرمسئولانه خوانده و روایت دیگری از این ماجرا را بیان میکند. به گفته مسئولان مایکروسافت، نسخهای که تابستان از ابزار CrossFuzz در اختیار این شرکت قرار داده شده است، با نسخه فعلی که بصورت عمومی منتشر شده، متفاوت بوده و نسخه اولیه این ابزار، هیچیک از حفرههای امنیتی را که توسط نسخه ارتقاء یافته دوم، شناسایی میشوند، نشان نداده است.
کارشناس گوگل به همراه انتشار این ابزار، جزئیات سوءاستفاده از یکی از حفرههای امنیتی را که توسط همین ابزار شناسایی میشود، منتشر کرده است. به گفته این کارشناس، این حفره امنیتی بطور مستقل و جداگانه توسط نفوذگران چینی شناسایی شده و مورد سوءاستفاده قرار گرفته است.
این حفره امنیتی در مرورگر IE8 بر روی سیستم عامل WinXP-SP3 به آسانی قابل سوءاستفاده است و پیشبینی میشود که بر روی سیستمهای عامل جدیدتر نیز قابل سوءاستفاده باشد. وجود این حفره از سوی چند شرکت امنیتی نیز مورد تأیید قرار گرفته است.
ابزار نرمافزاری CrossFuzz قادر به شناسایی حفرههای امنیتی در انواع مرورگرها است. پس این ابزار در اختیار شرکتهایی مانند Google، Mozilla و Apple نیز گذاشته شده و آنها در فرصت داده شده، به بسیاری از حفرههای امنیتی شناسایی شده توسط این ابزار، رسیدگی کردهاند.
این اولین باری نیست که دو شرکت مایکروسافت و گوگل بر سر نحوه انتشار و اعلام حفرههای امنیتی با یکدیگر درگیر میشوند. سال گذشته میلادی، حداقل در دو مورد، کارشناسان Google بدون هماهنگی با شرکت مایکروسافت و به دلیل یا بهانه عدم اقدام مایکروسافت در یک فرصت قابل قبول، اقدام به انتشار جزئیات حفرههای امنیتی در سیستم عامل Windows و مرورگر IE کردند.
منبع:farnet.ir