Project Zero Leaks من Google ثغرة أمنية غير مسبوقة في Microsoft Edge و IE

يشعر كل من مطوري البرامج ومستخدمي الكمبيوتر بقلق بالغ بشأن تزايد عدد الهجمات الإلكترونية. خسر مستخدمو أجهزة الكمبيوتر المنزلية والشركات الصغيرة وحتى الشركات الضخمة ملايين الدولارات بعد أن تعرضت أجهزة الكمبيوتر الخاصة بهم للاختراق بواسطة فيروسات برامج الفدية ، مثل Cryptolocker و FBI و Ukash و Locky وغيرها الكثير. في حين أن هجمات برامج الفدية هي الأكثر خطورة ، إلا أن هناك الكثير من الأساليب الأخرى التي يستخدمها المتسللون لتحقيق ربح من خلال ابتزاز الأشخاص. لطالما عمل عمالقة التكنولوجيا ، بما في ذلك Microsoft ، بجدية لضمان حماية المستخدمين ، ولكن على ما يبدو ، هناك المئات من المبرمجين المحترفين من بين المتسللين الذين تمكنوا من استغلال الحد الأدنى من الأمان نقاط الضعف. هذه مشكلة مستمرة ، تتم مناقشتها على نطاق واسع على الإنترنت ويتم اتخاذ تدابير مختلفة لمنع المتسللين من خداع الأشخاص.

في الآونة الأخيرة ، وقعت Microsoft في موقف لا تحسد عليه بعد فريق البحث الأمني ​​Project Zero التابع لشركة Google كشف عن ثغرة أمنية خطيرة في متصفحي الويب Microsoft Edge و Internet Explorer في نهاية شهر تشرين الثاني (نوفمبر) 2016. تُعرف الثغرة الأمنية (المفهرسة باسم CVE-2017-0038) باسم خطأ الارتباك في النوع ، والذي ينبع من ملف HTML حيث يعيد JavaScript تنسيق خصائص StyleSheet لجدول HTML. وبالتالي ، ينشأ التباس النوع مما يتسبب في ثغرة أمنية لمتصفح الويب. كما أشارت قاعدة البيانات الوطنية للثغرات الأمنية ، فإن هذا الخطأ "يسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية عبر المتجهات يتضمن تسلسلًا مميزًا لأوراق الأنماط المتتالية (CSS) ورمز جافا سكريبت مُصمم يعمل على [رأس الجدول] جزء."

أبلغ Project Zero Microsoft عن عيب IE / Edge في 25 نوفمبر 2016 ، وأمهل 90 يومًا لإصدار التصحيح. خلافًا لذلك ، سيكشف Project Zero عن تفاصيل الثغرات الأمنية علنًا. لقد أقرت Microsoft بالمشكلة ، ونعتقد أنها كانت تعمل جاهدة لإصلاح الكراك ، ولكن دون جدوى. كان من المتوقع أن يتم إصدار الإصلاح مع Patch الثلاثاء لشهر فبراير ، والذي ، للأسف ، تم إلغاؤه لأسباب غير معروفة حتى الآن. يوم الثلاثاء التصحيح المعتاد من المقرر في مارس فقط. حتى إصدار Microsoft التصحيح ، يوصي خبراء الأمان الأشخاص باتخاذ إجراءات وقائية والاعتماد على Google Chrome (إصدار 64 بت) بدلاً من Edge أو IE. إلى جانب ذلك ، يعد التبديل إلى Windows 10 من الإصدارات السابقة إجراءً احترازيًا ينصح به بشدة.

هناك سؤال ساخن آخر يتعلق بأخطاء Microsoft Edge و IE وهو ما إذا كان يجب على الأشخاص الوثوق في تصحيحات الجهات الخارجية أم لا. كشف Acros Security عن تصحيح مؤقت لثغرة أمنية في Internet Explorer و Edge Type Confusion ، والتي قد تمنع تنفيذ الرموز الضارة. يهدف Acros Security إلى الثغرات الأمنية غير المصححة ، والمنتجات المنتهية الصلاحية وغير المدعومة ، وبرامج الطرف الثالث الضعيفة ، وما شابه ذلك. يشار إلى أن هذا التصحيح ينطبق على معظم الثغرات الأمنية القابلة للاستغلال (مثل سلاسل التنسيق ، والزرع الثنائي ، وحقن DLL ، والمخازن المؤقتة التي لم يتم التحقق منها ، وتصحيح البيانات ، وما إلى ذلك). ومع ذلك ، لا توصي Microsoft مستخدمي Windows بالثقة في تصحيحات الجهات الخارجية. بينما يدعي مطورو Acros Security 0patch أن التصحيح قد تم إلغاؤه بمجرد قيام المستخدم بتثبيت التصحيح الرسمي الصادر عن بائع نظام التشغيل. ومع ذلك ، وفقًا لـ Security Professional Chris Goettl ، "بمجرد أن تصدر Microsoft إصلاحًا ، هل سيتم تثبيته فوق التغييرات من 0Patch؟ في حالة حدوث أي مشكلات ، فإنها تترك المستخدم / الشركة في منطقة رمادية ". لذلك ، للحصول على الدعم الكامل والجميع الإصلاحات المتوفرة من Microsoft ، فمن الأفضل عدم السماح للجهات الخارجية بتعديل مكونات Microsoft في أي طريق.