IRCERT - اخبار و هشدارها - XP هشدار به کاربران ویندوز

صفحه اول > اخبار و هشدارها

هشدار به کاربران ویندوز XP

12 نوامبر 2004 – 22 آبان 1383

شرکت Finjan – تولید کننده ابزارهای نرم افزاری امنیتی – اعلام کرده است که 10 مشکل امنیتی در جدیدترین به روز رسانی سیستم عامل ویندوز XP یعنی SP2 یافته است.

این شرکت انگلیسی در بیانیه ای که جزئیات کمی دارد مدعی شده است که این حفره ها به هکر اجازه می دهند تا بدون جلب توجه کاربر از راه دور به فایلهای وی دسترسی پیدا کند، ابزارهای امنیتی او را غیرفعال کند و برنامه های مورد نظر خود را اجرا کند.

مدیرعامل این شرکت اشاره کرده است که SP2 مشکلاتی دارد که امنیت کاربر را با خطر مواجه می کند و رهکارهای امنیتی Finjan می تواند محیطی امن را برای کاربران ایجاد کند.

این شرکت به مایکروسافت مهلت نداده تا اشکالات گفته شده را رفع کند بلکه با معرفی این اشکالات به تبلیغ ابزارهای خود جهت مقابله با تهدیدها پرداخته است. بسیاری از شرکتهای امنیتی پس از یافتن حفره های امنیتی در محصولات یک شرکت، پیش از اعلان عمومی، به آن شرکت اطلاع می دهند تا شرکت مزبور راهی را برای تامین امنیت مشتریان خود بیابد.

مایکروسافت معتقد است که در بسیاری از موارد اشکالات امنیتی گفته شده در گزارش Finjan تکراری یا اشتباه هستند. دبی فرای ویلسون – مدیر بازاریابی واحد فناوری و تجارت امنیتی مایکروسافت – می گوید:" ما قویا احساس می کنیم که آنها غلو می کنند و باعث اختلال در بازار می شوند. ما بسیار متاسفیم که آنها به جای فکر کردن درباره امنیت مشتریان و آنچه برای آنان بهتر است، به ایجاد ترس پرداخته اند."

اما مدیرعامل Finjan این کار را هشدار ، اطلاع رسانی و آموزش به کاربران می داند. وی می گوید:" کاربران نیاز دارند بدانند که باید مراقب باشند و بدون آموزش، کاربران مراقبت کافی را به عمل نمی آورند. من فکر نمی کنم که ما کاربران را می ترسانیم. من به ایجاد رعب معتقد نیستم اما معتقدم باید حساب شده عمل کرد." وی همچنین اشاره می کند که زمان و اطلاعات کافی در اختیار مایکروسافت قرار داده بوده است. او می گوید:" ما با مایکروسافت درباره این مسائل بحث نمی کنیم. ما 19 حفره پیدا کرده ایم و به شما نشان دادیم که می توان کنترل یک کامپیوتر را از راه دور به دست گرفت."

در مقابل ویلسون معتقد است که Finjan حتی 10 حفره را به طور مشخص نام نبرده و معلوم نیست واقعا چند مشکل امنیتی یافته است. وی می گوید:" آنها مدتی است در رابطه با مسائل مختلفی با ما در حال مذاکره و تماس هستند اما هیچ ارتباط مشخصی درباره 10 حفره و مشکل امنیتی بین این دو شرکت برقرار نشده است."

بسیاری از محققان می گویند که شرکتها و افراد باید پس از ارائه زمان کافی به شرکتهای تولیدکننده نرم افزار جهت ترمیم و اصلاح برنامه، اطلاعات حفره یافت شده را در اختیار عموم بگذارند. معمولا تولیدکنندگان زمان مناسب جهت ترمیم را یک ماه می دانند.

یکی از مدیران شرکت امنیتی PivX Solutions معتقد است که بین بازاریابی برای محصولات و انتشار حفره های امنیتی باید مرز گذاشت. وی می گوید:" شما به عنوان یک شرکت امنیتی باید پیش از انجام هر کاری اثر آن را بر امنیت اینترنت مورد بررسی قرار دهید. PivX راهنماییهای امنیتی برای مشکلات نرم افزارها را ارائه کرده است اما همیشه به مایکروسافت زمان کافی را برای ترمیم نرم افزارهای خود داده است. حفره های امنیتی خطرناکتر از آن هستند که از آنها به عنوان ابزار بازاریابی استفاده کنیم."

تولیدکنندگان نرم افزار گاها از محققانی که به انها فرصت کافی جهت ترمیم مشکلات را نمی دهند، عصبانی می شوند. حدود یک سال پیش سایت مشهور اطلاع رسانی بازیهای کامپیوتری، ameSpy ، یک هشدار رسمی برای یک محقق امنیتی ایتالیایی فرستاد. این محقق حفره هایی را در محصولات این شرکت یافته بود.