"مايكروسوفت" و"جوجل"
قامت شركة مايكروسوفت بالكشف عن ثغرة أمنية في متصفح الويب كروم التابع لشركة جوجل، وتناولت "مايكروسوفت" في أحد مقالات المدونة الخاصة بها أمن متصفح جوجل، واغتنمت الفرصة للحديث عن فلسفة أمان متصفح كروم، جنبا إلى جنب مع تعداد وتوضيح مزايا متصفحها الخاص إيدج، حيث تمكنت "مايكروسوفت" من العثور على ثغرة أمنية في "كروم".
وأشارت في تدوينتها إلى أن متصفح كروم يستعمل ميزة وضع الحماية وتقنيات عزل مصممة لاحتواء أي تعليمات برمجية ضارة، ويمكن استعمال هذه الثغرة الأمنية لتنفيذ تعليمات برمجية خبيثة ضمن المتصفح، وتوجد تلك الثغرة ضمن محرك جافا سكريبت Javascript، وقد أبلغت "مايكروسوفت"، "جوجل" عن المشكلة التي تم تصحيحها في الشهر الماضي.
وتلقت "مايكروسوفت" مكافأة قدرها 7500 دولار أمريكي لإيجادها الثغرة، وأشارت "مايكروسوفت" ضمن التدوينة إلى أن متصفح إيدج خاصتها محمي من نفس هذا النوع من التهديدات الأمنية، كما وجهت الانتقادات إلى "جوجل" حول الطريقة التي تعاملت بها مع عملية التصحيح، ونشرت "جوجل" التعليمات البرمجية المصدرية لعملية الإصلاح ضمن موقع GitHub، وذلك قبل طرحها الرسمي للتصحيح.
ويعني ذلك أن المخترقين قد حصلوا على معرفة مسبقة عن الثغرة قبل وصول التصحيح إلى العملاء، وبحسب شركة مايكروسوفت فإن ذلك الأمر يعطي وقتا كافيا للمخترقين لاستغلال الثغرة، وقامت "جوجل" بتصحيح المشكلة في غضون أسبوع في إصداراتها التجريبية من "كروم".
واغتنمت "مايكروسوفت" الفرصة أكثر من مرة للإشارة إلى أنها كشفت عن أخطاء "كروم" بشكل سري، وأنها ستواصل القيام بذلك لتعزيز نهجها عبر الصناعة، في حين تجري "جوجل" بحوثا أمنية بشكل منتظم وتكشف عن مشكلات أمنية في برامج "مايكروسوفت"، وتعمد أحيانا إلى نشر التفاصيل قبل أن يتم تصحيح المنتجات. وسابقا، اشتبكت الشركتان حول مسائل الكشف عن مواطن الضعف والثغرات، حيث حذرت شركة جوجل في العام الماضي المستخدمين من وجود عيب أمني خطير في نظام التشغيل ويندوز، لكنها قامت بذلك قبل أن تتمكن "مايكروسوفت" من إصدار تصحيح، ورغم الانتقادات إلا أن مدونة "مايكروسوفت" أقرت بأن تقنيات عزل "كروم" يجب أن تجعل المتصفح أكثر مرونة ضد التهديدات المماثلة التي تحاول تنفيذ التعليمات البرمجية عن بعد.
"أدوبي" والاعتراف المباشر
من جانبها اعترفت شركة أدوبي سيستمز بأن القراصنة يستغلون نقاط الضعف في منصة برمجيات الوسائط المتعددة التابعة لها فلاش Flash في متصفحات الويب، وحثت الشركة المستخدمين على تصحيح أنظمتهم بشكل سريع لمنع مثل هذه الهجمات، ويبدو أنه على الرغم من قرب انتهاء هذه البرمجية إلا أن نهاية وجودها في حياة المستخدمين ستبقى مرتبطة بالقضايا الأمنية التي جرى تسليط الضوء عليها خلال فترة وجودها في الخدمة. وجاء التحذير بعد أن قالت شركة الأمن السيبراني كاسبرسكي لاب Kaspersky Lab "إن مجموعة من القراصنة تدعى BlackOasis قد استعملوا نقطة ضعف كانت غير معروفة سابقا بتاريخ 10 تشرين الأول (أكتوبر) من أجل زرع برمجيات ضارة على أجهزة الحاسب قبل توصليها بالخوادم في عدد من البلدان مثل سويسرا وبلغاريا وهولندا".
وقالت كاسبرسكي "إن البرمجيات الخبيثة، المعروفة باسم FinSpy أو FinFisher، هي عبارة عن منتج تجاري يباع عادة ووكالات إنفاذ القانون من أجل عمليات المراقبة"، وأضافت أن "تقييمها لمجموعة BlackOasis أظهر أنها مهتمة بالسياسة في الشرق الأوسط وأنها تستهدف السياسيين ومسؤولي الأمم المتحدة العاملين في المنطقة والمدونين والناشطين المعارضين والمراسلين الإخباريين الإقليميين في الشرق الأوسط".
وقالت الشركة "إن الضحايا الذين تم رصدهم حتى الآن يوجدون في عدة دول في أوروبا وإفريقيا والشرق الأوسط"، وصرحت شركة أدوبي من جانبها بأنها قد أصدرت تحديثا أمنيا لإصلاح المشكلة، التي أثرت في متصفحات الويب جوجل كروم ومايكروسوفت إيدج وإنترنت إكسبلورار إضافة إلى إصدارات حواسيب سطح المكتب من تلك المتصفحات. وكانت شركة أدوبي قد صرحت في شهر تموز (يوليو) بأن تكنولوجيا فلاش، التي كانت مستخدمة في معظم محتوى الوسائط المتعددة على الإنترنت، ستتقاعد بحلول نهاية عام 2020، وقد انتقد ستيف جوبز الرئيس التنفيذي السابق لشركة أبل هذه التكنولوجيا بشدة، مع وجود عديد من البدائل الناشئة في السنوات الأخيرة مثل HTML5، كما أن عديدا من متصفحات الويب يتطلب من المستخدمين تمكين "فلاش" قبل تشغيله. وصرحت شركة جوجل في الوقت الذي أعلنت فيه شركة أدوبي تقاعد التكنولوجيا الخاصة بها أنه قد جرى استعمال برمجية فلاش بشكل يومي ضمن متصفح الويب الأكثر شعبية من قبل مستخدمي حواسيب سطح المكتب بنسبة 17 في المائة، وشكلت هذه الأرقام انخفاضا عن نسبة 80 في المائة خلال عام 2014.
أضف تعليق