مايكروسوفت تكتشف ثغرة في متصفح كروم
عاقبت شركة مايكروسوفت هذا الأسبوع شركة غوغل من خلال كشفها عن ثغرة أمنية في متصفح الويب كروم، وتناولت الشركة الواقع مقرها في ريدموند في إحدى مقالات المدونة الخاصة بها أمن متصفح غوغل، واغتنمت الفرصة للحديث عن فلسفة أمان كروم، جنباً إلى جنب مع تعداد وتوضيح مزايا متصفحها الخاص إيدج، حيث تمكنت مايكروسوفت من العثور على ثغرة أمنية في كروم.
وأشارت التدوينة، التي كتبها عضو فريق الأمن في شركة مايكروسوفت جوردان رابيت إلى أن متصفح كروم يستعمل ميزة وضع الحماية وتقنيات عزل مصممة لاحتواء أي تعليمات برمجية ضارة، ويمكن استعمال هذه الثغرة الأمنية لتنفيذ تعليمات برمجية خبيثة ضمن المتصفح، وتتواجد تلك الثغرة ضمن محرك جافا سكريبت Javascript، وقد أبلغت عملاقة البرمجيات عملاقة البحث عن المشكلة التي تم تصحيحها في الشهر الماضي.
وتلقت الشركة مكافأة قدرها 7500 دولار أميركي لإيجادها الثغرة، وأشارت مايكروسوفت ضمن التدوينة إلى أن متصفح إيدج خاصتها محمي من نفس هذا النوع من التهديدات الأمنية، كما وجهت الانتقادات إلى جوجل حول الطريقة التي تعاملت بها مع عملية التصحيح، ونشرت غوغل التعليمات البرمجية المصدرية لعملية الإصلاح ضمن موقع GitHub، وذلك قبل طرحها الرسمي للتصحيح.
ويعني ذلك أن الهاكرز قد حصلوا على معرفة مسبقة عن الثغرة قبل وصول التصحيح إلى العملاء، وبحسب شركة مايكروسوفت فإن ذلك الأمر يعطي وقت كافي للهاكرز لاستغلال الثغرة، وقامت غوغل بتصحيح المشكلة في غضون أسبوع في إصداراتها التجريبية من كروم، لكن القناة الثابتة والعامة ظلت عرضة للخطر لما يقرب من شهر.
واغتنمت عملاقة البرمجيات الفرصة أكثر من مرة للإشارة إلى أنها كشفت عن أخطاء كروم بشكل سري، وأنها سوف تواصل القيام بذلك لتعزيز نهجها عبر الصناعة، في حين تجري عملاقة البحث بحوث أمنية بشكل منتظم وتكشف عن مشاكل أمنية في برامج مايكروسوفت، وتعمد أحياناً إلى نشر التفاصيل قبل أن يتم تصحيح المنتجات، وقد أغضب هذا النهج شركة مايكروسوفت كثيراً.
وقد اشتبكت الشركتان سابقاً حول مسائل الكشف عن مواطن الضعف والثغرات، حيث حذرت شركة غوغل في العام الماضي المستخدمين من وجود عيب أمني خطير في نظام التشغيل ويندوز، لكنها قامت بذلك قبل أن تتمكن مايكروسوفت من إصدار تصحيح، ورغم الانتقادات إلا أن مدونة مايكروسوفت أقرت بأن تقنيات عزل كروم يجب أن تجعل المتصفح أكثر مرونة ضد التهديدات المماثلة التي تحاول تنفيذ التعليمات البرمجية عن بعد.