Google-ის Project Zero-მ გამოუშვა Microsoft Edge და IE დაუცველობა

პროგრამული უზრუნველყოფის შემქმნელებიც და კომპიუტერის მომხმარებლებიც სერიოზულად არიან შეშფოთებულნი კიბერშეტევების მზარდი რაოდენობის გამო. სახლის კომპიუტერების მომხმარებლებმა, მცირე ბიზნესმა და უზარმაზარმა კომპანიებმაც კი დაკარგეს მილიონობით დოლარი მას შემდეგ, რაც მათი კომპიუტერები გაიტაცეს გამოსასყიდის ვირუსებმა, როგორიცაა Cryptolocker, FBI, Ukash, Locky და მრავალი სხვა. მიუხედავად იმისა, რომ გამოსასყიდი პროგრამების შეტევები ყველაზე მძიმეა, არსებობს უამრავი სხვა მეთოდი, რომელსაც ჰაკერები იყენებენ ხალხის შანტაჟით მოგების მისაღებად. ტექნიკური გიგანტები, მათ შორის მაიკროსოფტი, ყოველთვის ბევრს მუშაობდნენ მომხმარებლების დაცვის უზრუნველსაყოფად, მაგრამ, როგორც ჩანს, ჰაკერებს შორის ასობით პროფესიონალი პროგრამისტია, რომლებიც ახერხებენ უსაფრთხოების ყველაზე ნაკლებ გამოყენებას სისუსტეები. ეს არის მუდმივი საკითხი, რომელიც ფართოდ განიხილება ინტერნეტში და მიიღება სხვადასხვა ზომები, რათა არ მოხდეს ჰაკერების თაღლითობა.

ცოტა ხნის წინ, Microsoft-ი ჩავარდა შესაშურ სიტუაციაში Google-ის Project Zero უსაფრთხოების კვლევის ჯგუფის შემდეგ ნოემბრის ბოლოს გამოავლინა სერიოზული დაუცველობა Microsoft-ის Edge-სა და Internet Explorer-ის ვებ ბრაუზერებში 2016. დაუცველობა (ინდექსირებული, როგორც CVE-2017-0038) ცნობილია როგორც ტიპის გაუგებრობის შეცდომა, რომელიც მომდინარეობს HTML ფაილიდან, რომელშიც JavaScript რეფორმატებს HTML ცხრილის StyleSheet თვისებებს. შესაბამისად, ტიპის დაბნეულობა წარმოიქმნება, რაც იწვევს ვებ ბრაუზერის უსაფრთხოების ხარვეზს. როგორც ეროვნული დაუცველობის მონაცემთა ბაზამ აღნიშნა, ეს შეცდომა „დაშორებულ თავდამსხმელებს საშუალებას აძლევს შეასრულონ თვითნებური კოდი ვექტორების საშუალებით რომელიც მოიცავს შემუშავებულ კასკადური სტილის ცხრილების (CSS) ჟეტონ-მიმდევრობას და შემუშავებულ JavaScript კოდს, რომელიც მუშაობს [ცხრილის სათაურზე] ელემენტი.”

Project Zero-მ აცნობა მაიკროსოფტს IE/Edge ხარვეზის შესახებ 2016 წლის 25 ნოემბერს და მისცა 90 დღე პატჩის გამოსაშვებად. წინააღმდეგ შემთხვევაში, Project Zero საჯაროდ გამოაქვეყნებს დაუცველობის დეტალებს. მაიკროსოფტმა აღიარა პრობლემა და, ვფიქრობთ, ბევრს მუშაობდა ბზარის გამოსასწორებლად, თუმცა ამაოდ. მოსალოდნელი იყო, რომ შესწორება გამოვა თებერვლის პაჩ სამშაბათს, რომელიც, სამწუხაროდ, გაუქმდა ჯერ კიდევ გაურკვეველი მიზეზების გამო. ჩვეულებრივი Patch Tuesday დაგეგმილია მხოლოდ მარტში. სანამ მაიკროსოფტი არ გამოაქვეყნებს პატჩს, უსაფრთხოების ექსპერტები ადამიანებს ურჩევენ მიიღონ პრევენციული ზომები და დაეყრდნონ Google Chrome-ს (64-ბიტიანი ვერსია) Edge-ის ან IE-ის ნაცვლად. გარდა ამისა, Windows 10-ზე გადასვლა ადრინდელი ვერსიებიდან ასევე არის ძალიან მიზანშეწონილი პრევენციული ღონისძიება.

კიდევ ერთი მწვავე კითხვა, რომელიც დაკავშირებულია Microsoft-ის Edge-თან და IE-სთან დაკავშირებულ შეცდომებთან არის ის, უნდა ენდონ თუ არა ხალხს მესამე მხარის პატჩებს. Acros Security-მა გამოაქვეყნა დროებითი პატჩი Internet Explorer-ისთვის და Edge Type Confusion Vulnerability-ისთვის, რამაც შესაძლოა ხელი შეუშალოს მავნე კოდების შესრულებას. Acros Security მიზნად ისახავს დაუმუშავებელ დაუცველობებს, სიცოცხლის ბოლომდე და მხარდაჭერილ პროდუქტებს, დაუცველ მესამე მხარის პროგრამულ უზრუნველყოფას და მსგავსებს. აღნიშნულია, რომ ეს პატჩი გამოიყენება ექსპლუატირებადი დაუცველობის უმრავლესობისთვის (მაგ. ფორმატის სტრიქონები, ორობითი დარგვა, DLL ინექციები, შეუმოწმებელი ბუფერები, მონაცემთა შესწორება და ა.შ.). მიუხედავად ამისა, Microsoft არ გირჩევთ Windows-ის მომხმარებლებს ენდონ მესამე მხარის პატჩებს. მიუხედავად იმისა, რომ Acros Security 0patch-ის დეველოპერები აცხადებენ, რომ პატჩი გაუქმდა, როგორც კი მომხმარებელი დააინსტალირებს OS-ის გამყიდველის მიერ გამოშვებულ ოფიციალურ პატჩს. თუმცა, უსაფრთხოების პროფესიონალი კრის გოტლის თქმით, „როდესაც Microsoft გამოაქვეყნებს შესწორებას, დააინსტალირებს ის 0Patch-ის ცვლილებებს ზემოთ? თუ რაიმე პრობლემა წარმოიქმნება, ის მომხმარებელს/კომპანიას ნაცრისფერ ზონაში ტოვებს.” ამიტომ, მიიღოთ სრული მხარდაჭერა და ყველაფერი Microsoft-ისგან ხელმისაწვდომი შესწორებები, უმჯობესია არ მისცეთ მესამე მხარეებს Microsoft-ის კომპონენტების შეცვლა გზა.