همكاری مايكروسافت در كشف آسيب‌پذيری‌های محصولات ديگر شركت‌ها

شماره: IRCNE2011081229
تاريخ: 5/6/90

محققان مايكروسافت بدون سر و صدا اقدام به پيدا كردن و رفع نقايص امنيتي در محصولات ساخته شده توسط شركت­هاي ديگر از جمله Apple و گوگل مي­نمايند.
در اين ماه، گروه تحقيقاتي آسيب پذيري­هاي امنيتي مايكروسافت (MSVR) تعدادي راهنمايي امنيتي براي مستندسازي آسيب پذيري­هايي در WordPress و مرورگر Safari متعلق به شركت Apple عرضه كرده است و در ماه جولاي نيز، تعدادي نقص نرم افزاري در Google Picasa و فيس بوك كشف و ترميم شدند.
برنامه MSVR كه از دو سال پيش آغاز شده است، به محققان مايكروسافت اين آزادي را مي­دهد تا كدهاي نرم افزارهاي شركت­هاي ديگر را بررسي كرده و با همكاري با اين شركت­ها، پيش از عمومي شدن يك مساله امنيتي به ترميم شدن آن كمك كنند.
كار اين گروه در سال 2009 و زماني كه يك حفره امنيتي خطرناك در Google Chrome Frame كشف و ترميم شد نمايان شد، اما هنوز بسياري نمي­دانند كه اين گروه در سال گذشته صدها مشكل امنيتي را در نرم افزارهاي شركت­هاي ديگر كشف كرده است.
مايكروسافت اعلام كرده است كه گروه MSVR از جولاي 2010 تا كنون، 109 آسيب پذيري نرم افزاري مختلف را كه متعلق به 38 شركت مختلف بودند شناسايي و معرفي كرده است.
به گفته مايكروسافت، بيش از 93 درصد از آسيب پذيري­هاي محصولات شركت­هاي ديگر كه از جولاي 2010 تا كنون توسط MSVR شناسايي شده اند در رده امنيتي «بسيار خطرناك» يا «خطرناك» قرار داشته اند.
به گزارش مايكروسافت، شركت­ها به اين حركت مايكروسافت پاسخ گفته و در 97 درصد از تمام آسيب پذيري­هاي گزارش شده، همكاري كرده اند. 29 درصد از آسيب پذيري­هايي كه از جولاي 2010 تا كنون كشف شده اند ترميم شده اند و هيچ يك از آسيب پذيري­هاي ترميم نشده نيز در هيچ حمله اي مشاهده نشده اند.
در كشفيات اين هفته MSVR، يك آسيب پذيري در روش مديريت انواع محتواي خاص توسط Safari وجود دارد. يك مهاجم مي­تواند با سوء استفاده از اين آسيب پذيري، منجر به اجراي محتواي اسكريپت و افشاي اطلاعات حساس توسط Safari گردد. مهاجمي كه به شكل موفقيت آميز از اين آسيب پذيري سوء استفاده نمايد به اطلاعات حساسي دست خواهد يافت كه مي­تواند در حملات آتي مورد استفاده قرار گيرد.
يك آسيب پذيري نيز در روش پياده سازي محافظت در برابر اسكريپت­هاي بين سايتي و اعتبار سنجي نوع محتوا در WordPress كشف شده است. يك مهاجم مي­تواند با سوء استفاده از اين آسيب پذيري، اقدام به اجراي اسكريپت نمايد.