امنیت
ساده ترین نرم افزار مایکروسافت،بزرگ ترین مشکل مایکروسافت
ساده ترین نرم افزار سیستم عامل مایکروسافت به تازگی درگیر یک حفره امنیتی عجیب شده است، نوت پد (Notepad)
بر اساس سایت TechRadar ، یک محقق امنیتی به تازگی یک آسیب پذیری بسیار جدی در نرم افزار ویرایشگر متنی مایکروسافت کشف کرده است. این نقص امنیتی که توسط Tavis Ormandy،محقق امنیتی Google Project Zero کشف شده است این خطر را دارد که هکر به کل سیستم قربانی دسترسی کامل داشته باشد همانطور که TechRadar اعلام کرد : این نقص شامل ضعف در Windows Text می باشد. ( مانند: ورودی متن،پردازش متن و صفحه بندی)
خلأ امنیتی در دلِ این فریمورک نهفته است، مؤلفهای که به CTextFramework معروف است بهگزارش The Register، این مؤلفه خود نقصهایی امنیتی دارد که درنهایت موجبات سوءاستفادهی هکرها را ازطریق برنامههایی فراهم میکند که برای تایپ متن استفاده میشوند و در تعامل با این مؤلفه هستند
علاوهبراین، TechRadar متذکر میشود تحقیقات اورمندی درزمینهی نقص امنیتی نوتپد، نشان میدهد اساسا عبور از پروتکلهای سیستم امنیتی بهراحتی صورت میپذیرد. این امر نهتنها به هکرها اجازهی جولان و دسترسی بیشتری میدهد؛ بلکه آنان را قادر میسازد با استفاده از رایانهی قربانیشده، به سایر رایانهها دسترسی یابند. Ormandy طی پستی در وبلاگ خود، از گستردگی دامنهی آسیبهای ناشیشده از نقصهای امنیتی مؤلفهی CTextFramework اینگونه نوشت:
هیچ نظارتی برای دسترسی وجود ندارد و هر برنامه و کاربری حتی در فرایندهای سندباکس میتواند به هر CTF متصل شود. درواقع، از کاربران شناسهی Thread و شناسهی پردازش و HWND خواسته میشود؛ اما چون این اطلاعات تصدیق نمیشوند، میتوانند دروغین باشند؛هکرها بهراحتی میتوانند خود را بهجای سرویس CTF معرفی و به سایر برنامهها حتی برنامههای سیستمی دسترسی پیدا کنند و برای جلوگیری از اینکار هیچ مانعی تعبیه نشده است. حتی در خوشبینانهترین حالت هم با استفاده از CTF میتوان از محیط سندباکس فرار کرد و دسترسیها را افزایش داد.
بنابر گفتههای TechRadar و ZDNet، مایکروسافت پَچی بهنام CVE-2019-1162 و معروف به پچ Patch Tuesday را سهشنبه ۱۳ اوت بهعنوان بخشی از بهروزرسانیهای امنیتی ماهانهی مایکروسافت منتشر کرده است ZDNet گزارش میدهد این پچ درمجموع برای برطرفکردن ۹۳ نقص امنیتی در نظر گرفته شده است.
