به گزارش افکار نیوز ،مایکروسافت راهنمای امنیتی با عنوان (۲۲۱۹۴۷۵) را منتشر کرده است که به بررسی نقص امنیتی صفر روزه در سیستم عامل ویندوز میپردازد. بر طبق نوشته وبلاگ تیم امنیتی ویندوز، جزئیات این آسیب پذیری دو روز پیش توسط یکی از پژوهشگران گوگل برای عموم منتشر شده است.
مدیر راهبردی تیم پاسخ امنیتی ویندوز پیرامون افشای عمومی این نقص امنیتی ابراز ناخرسندی کرده است و در ادامه گفته است که افشا نمودن جزئیات بهرهبرداری از این گونه آسیب پذیریها کاربران و مشتریانش را بیشتر مورد تهدید حملات مخرب قرار میدهد.
این آسیب پذیری مربوط به سیستم عاملهای ویندوز سرور ۲۰۰۳ و اکس پی میباشد. کاربر در هنگام کلیک بر روی پیوندهای hcp که فایل helpctr. exe را اجرا میکند به روش امن و معمول میتواند در میان اطلاعات «کمک» گشت بزند. اما محقق گوگل کشف کرده است که یک صفحه کمک(help page) که آلوده به آسیب پذیری کراس سایت اسکریپتینگ باشد، میتواند از این مکانیزم سوء استفاده نماید.
پژوهشگر گوگل که نام وی مشخص نیست این آسیب پذیری را به مایکروسافت اعلام میکند اما تنها پس از چهار روز جزئیات نحوه عملکرد مخرب این آسیب پذیری را بر روی اینترنت قرار میدهد.
کارگردان امنیتی در مایکروسافت این نحوه عملکرد گوگل را مورد انتقاد قرار داده است و مدت زمان چهار روز را برای بررسی این آسیب پذیری کم اعلام کرده است. مایکروسافت میگوید که ارائه اصلاحیهای که بر روی کیفیت محصول تاثیر گذار نباشد بیش از این مدت طول میکشد.
مایکروسافت در بخشی دیگر از این نوشته وبلاگی از یافته پژوهشگر گوگل قدردانی نیز کرده است اما خواستار ایجاد حس مسولیت پذیری بیشتر شده است. «ما درک میکنیم که محققان بخش حیاتی در رابطه با شناخت مشکلات و بهبود آنها هستند و ما همچنان از آنان خواستاریم که به فعالیت مفید خود به همراه افشاء سازی های مسؤلانه ادامه دهند.»
هم اکنون بهترین روش کاهش ریسک خطر سیستم عاملهای ویندوز xp و ویندوز سرور ۲۰۰۳ منحل کردن ثبات نگهدارنده hcp: / / میباشد:
Windows Registry Editor Version ۵.۰۰
[- HKEY _ CLASSES _ ROOT \ HCP]
با اضافه کردن این کد در یک فایل reg. میتوانید پروتکل hcp را منحل نمایید. روش برگشت به حالت اولیه و اطلاعات کاملتر در راهنمای امنیتی این آسیب پذیری قرار گرفته است. قابل ذکر است که نسخههای جدیدتر سیستم عامل ویندوز مانند ویستا و هفت به این نقص آلوده نمیباشند.
شناسه خبر:
۷۶۹۰۸
کشف یک نقص امنیتی در ویندوز
۰