گوگل آسیبپذیری دیگری را در ویندوز بهطور عمومی افشا کرد که اگر مورد بهرهبرداری قرار گیرد به مهاجم اجازه سرقت اطلاعات از حافظه را میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت گوگل بار دیگر یک آسیبپذیری در سیستمعاملهای ویندوز و کد اثبات مفهومی برای بهرهبرداری از آن را بهطور عمومی افشا کرد. این آسیبپذیری نسخههای مختلفی از این سیستمعامل از ویستا سرویسپک ۲ گرفته تا ویندوز ۱۰ را تحتتأثیر قرار میدهد و تاکنون وصله نشدهاست.
چندماه قبل شرکت گوگل یک آسیبپذیری حیاتی در ویندوز را بهطور عمومی افشا کرد درحالیکه تنها ۱۰ روز از اطلاعرسانی آن به شرکت مایکروسافت گذشته بود. با اینحال، اینبار گوگل به مایکروسافت ۹۰ روز مهلت داد و پس از اینکه این شرکت نتوانست آن را برطرف کند، آسیبپذیری بهطور عمومی افشا شد.
این آسیبپذیری در کتابخانه واسط دستگاه گرافیکی ویندوز وجود دارد و مهندسان گوگل، آن را به مایکروسافت در روز ۲۰ خردادماه سال جاری گزارش دادند. این آسیبپذیری هر برنامهای را که از این کتابخانه استفاده کند تحتتأثیر قرار میدهد و اگر مورد بهرهبرداری قرار گیرد به مهاجم اجازه سرقت اطلاعات از حافظه را میدهد.
کارشناسان مایکروسافت در ۲۶ خرداد وصلهای برای این آسیبپذیری منتشر کردند ولی این اشکال در کتابخانهی GDI بهطور کامل برطرف نشد و مهندسان گوگل مجبور شد بار دیگر در ۲۶ آبانماه، همراه با کد اثبات مفهومی این آسیبپذیری را گزارش کنند.
در گزارش محققان گوگل آمدهاست: «در مرورگر اینترنت اکسپلورر و در دیگر کارخواههای GDI، ممکن است بایتهایی خارج از محدوده پشته، توسط رنگ پیکسلها افشا شود که در نتیجه دادههای تصویری که نمایش داده شدهاست به مهاجم بازگشت دادهمیشود و اطلاعات آن قابل استخراج است.» اینک پس از دادن مهلت سهماهه به مایکروسافت، شرکت گوگل این آسیبپذیری را بهطور عمومی منتشر کردهاست که این اطلاعات در اختیار نفوذگران و عوامل مخرب نیز قرار گرفتهاست.
گروه پروژه Zero گوگل بهطور مداوم حفرههای امنیتی را در نرمافزارهای مختلف کشف کرده و به شرکتهای مربوطه گزارش میکند. این گروه به شرکتها ۹۰ روز مهلت میدهد تا آسیبپذیری را وصله کرده و بهطور عمومی افشا کنند و اگر این اتفاق نیفتاد، شرکت گوگل خود وارد عمل شده و آن را با جزییات افشا میکند.
هرچند نیازی نیست کاربران ویندوز وحشت کنند، چرا که برای بهرهبرداری از این آسیبپذیری، نفوذگران نیاز به دسترسی فیزیکی به ماشین قربانی دارند و پس از این افشای عمومی، مایکروسافت در اسرع وقت این اشکال را برطرف و وصلههای مناسبی را منتشر خواهدکرد.
این ماه شاهد بودیم که در انتشار وصلههای ماهانه مایکروسافت تأخیری بهوجود آمد. مایکروسافت دلیل این تأخیر را کشف یک آسیبپذیری در دقایق آخر عنوانکرد که برای وصله آن برنامهریزی نکردهبود، بنابراین اگر مایکروسافت وصله و بهروزرسانی اضطراری را این ماه منتشر نکند، بهرهبرداری از این آسیبپذیری برای مهاجمان به مدت یکماه باز خواهدبود. سری قبل، زمانیکه گوگل آسیبپذیری را در هسته ویندوز افشا کرد، گروه نفوذ روسی فرصت پیدا کرد تا از آن در دنیای واقعی بهرهبرداری کند.