Hessam
2012/11/08, 12:47
شرکـت موزيلا هفته گذشته جديدترين نسخه از مرورگر اينترنتی محبوب و پرطرفدار خود را منتشر کرد. اين مرورگر شانزدهمين نسخه از فايرفاکس محسوب میشود.
فقط کاربران عضو قادر به مشاهده لینکها هستند.
درست چند ساعت بعد از انتشار عمومی اين مرورگر وب، يک محقق امنيتی مستقل، يک آسيبپذيری جدی و خطرناک را در اين مرورگر جديد يافت. اين آسيبپذيری با استفاده از چند خط کد خطرناک به مهاجمان احتمالی امکان میداد تا فهرست تاريخچه مراجعات کاربر به سايتها و URLهای مختلف را استخراج کنند.
اين جا بود که برای اولين بار در تاريخ شرکت موزيلا به روزرسانی مرورگر فايرفاکس متوقف شد. اين در حالی بود که ميليونها کاربر اين مرورگر به طور خودکار اين به روزرسانی را دانلود کرده بودند و ديگر کاری از دست فايرفاکس ساخته نبود. شرکت فايرفاکس به کاربران خود اعلام کرد که مرورگر خود را به نسخـه پانـزدهم بازگردانند. متاسفانه مکانيزم مناسبی نيز برای انجام اين کار به طور خودکار وجود ندارد و کاربر بايد مرورگر را به شکل کامل از رايانه خود حذف کرده و سپس به دانلود و نصب مجدد نسخه قديمی اين مرورگر اقدام نمايد.
البته خوشبختانه موزيلا با يک کار شبانهروزي، بعد از گذشت دو روز اين مشکل را برطرف کرد و نسخه 16.0.1 را منتشر کرد که از طريق حفره ياد شده، آسيبپذير نيست.
در طی چند هفتـه گذشته چند بـار شاهـد رويداد وقايع مشابهی بوديم. جديدترين نسخه از جاوا ميليونها کاربر را در معرض خطر قرار داد؛ در حالی که نسخه پيشين آن آسيبپذير نبود. جديدترين بـه روزرسانی IE آن را به شرايط بحرانی برد و مايکروسافت را مجبور کرد که آن را خارج از وقت معين به روزرسانی کند. شرکت اپل با به روزرسانی نقشه گوگل در تبلتها و آيفونها انبوهی از کاربران خود را سردرگم کرد و در نهايت مدير اين شرکت با معذرت خواهی از کاربران محصولات اپل، آنها را در اقدامی بیسابقه به استفاده از محصول گوگل دعوت کرد و اگر در گذشتهها نيز کمی دقيقتر شويم، با به روزرسانیهای ناموفق و خطرآفرين ديگری نيز مواجه میشويم.
اين جاست که متخصصان امنيت و نرمافزار کاربران را از به روزرسانیهای بلافاصله منع میکنند. بسياری از برنامهها به صورت خودکار به روزرسانی میشوند. تقريبا بيشتر نرمافزارهای امروزی از اين مکانيزم بهرهبرداری میکنند اما بسياری از همين نرمافزارها به کاربر حق انتخاب میدهند.
به عنوان نمونه هيچ مرورگری کاربران خود را مجبور به استفاده از نسخههای جديدتر نمیکند. مرورگر فايرفاکس هم از اين قضيه مستثنا نبوده و به طور پيشفرض به محض انتشـار عمومی يک بسته بهروزرسانی آن را دانلود میکند اما به سادگی میتوان روال به روزرسانی خودکار آن را متوقف کرد. در اين ميان هميشه انبوهی از کاربران هستند که بدون توجه به مسائل امنيتی يا حتـی بیخبر از اين موضوع که اين امکان قابل تنظيم اسـت به محصولات نرمافزاری خود اجازه میدهند که خيلی سريع و بدون معطلی به روزرسانی شوند اما يک کاربر حرفهای اين گونه رفتار نمیکند.
اصولا يک بهروزرسانی بايد با آگاهی کامل انجام پذيرد. دقيقا به همين دليل تمام شرکتها بعد از انتشار به روزرسانیهای نرمافزاری، Patch Note منتشر میکننـد. Patch Note مجموعـه تغييرات ريز و درشتی است که نسخـه جديد شاهـد آن تغييرات بوده است.
اين Patch Noteها از منظر کاربران عادی بیاهميت و يا کم اهميت هستند اما متخصصان وسواسی و دقيق آنها را به دقت مطالعه میکنند و اگر نکته خاصی در آنها وجود داشته باشد تا قبل از کسب اطمينان کامل از امنيت و سلامت محصول، بهروزرسانیها را نمیپذيرند.
هيـچگاه نبايـد برای آزمايـش يک نرمافزار تازه منتشر شـده يا تازه بـه روزرسـانی شده پيش قدم بود. در اين مواقع بايد شـور و اشتياق احتمالی برای استفاده از امکانات احتمالا جديد را کنترل کرده و به روزرسانی نرمافزارهای حساس را تا حداقل چند روز به تعويق انداخت.
اين صبر چند روزه همان فرصتی است که پيش قدمهـا، نرمافـزار را امتحان کرده و باگها، حفرهها و ايرادهـای آن را شناسـايی میکنند و اگر خطری در کار بـوده باشد، حتما صـدای خيلیها تا آن زمان درآمـده است.
البته به خاطر داشته باشيد که نبايـد زمـان برخی از بهروزرسانیها را هم چندان به تاخير انداخـت. در صورتی که حفرهای جـدی در يکی از محصولات نرمافزاری مورد استفاده شما شناسايی شد، بهروزرسانیها را خيلی زود دريافت نماييد.
دست آخر باز هم ايمنترين راه برای آسيب نديدن از اين نوع خطرها اين است که برای مدتی از نرمافزارهای مشابه ديگر استفاده شود و نرمافزارهای احتمالا آسيبپذير تا زمان رفع مشکل، بدون استفاده باقی بمانند.
فقط کاربران عضو قادر به مشاهده لینکها هستند.
درست چند ساعت بعد از انتشار عمومی اين مرورگر وب، يک محقق امنيتی مستقل، يک آسيبپذيری جدی و خطرناک را در اين مرورگر جديد يافت. اين آسيبپذيری با استفاده از چند خط کد خطرناک به مهاجمان احتمالی امکان میداد تا فهرست تاريخچه مراجعات کاربر به سايتها و URLهای مختلف را استخراج کنند.
اين جا بود که برای اولين بار در تاريخ شرکت موزيلا به روزرسانی مرورگر فايرفاکس متوقف شد. اين در حالی بود که ميليونها کاربر اين مرورگر به طور خودکار اين به روزرسانی را دانلود کرده بودند و ديگر کاری از دست فايرفاکس ساخته نبود. شرکت فايرفاکس به کاربران خود اعلام کرد که مرورگر خود را به نسخـه پانـزدهم بازگردانند. متاسفانه مکانيزم مناسبی نيز برای انجام اين کار به طور خودکار وجود ندارد و کاربر بايد مرورگر را به شکل کامل از رايانه خود حذف کرده و سپس به دانلود و نصب مجدد نسخه قديمی اين مرورگر اقدام نمايد.
البته خوشبختانه موزيلا با يک کار شبانهروزي، بعد از گذشت دو روز اين مشکل را برطرف کرد و نسخه 16.0.1 را منتشر کرد که از طريق حفره ياد شده، آسيبپذير نيست.
در طی چند هفتـه گذشته چند بـار شاهـد رويداد وقايع مشابهی بوديم. جديدترين نسخه از جاوا ميليونها کاربر را در معرض خطر قرار داد؛ در حالی که نسخه پيشين آن آسيبپذير نبود. جديدترين بـه روزرسانی IE آن را به شرايط بحرانی برد و مايکروسافت را مجبور کرد که آن را خارج از وقت معين به روزرسانی کند. شرکت اپل با به روزرسانی نقشه گوگل در تبلتها و آيفونها انبوهی از کاربران خود را سردرگم کرد و در نهايت مدير اين شرکت با معذرت خواهی از کاربران محصولات اپل، آنها را در اقدامی بیسابقه به استفاده از محصول گوگل دعوت کرد و اگر در گذشتهها نيز کمی دقيقتر شويم، با به روزرسانیهای ناموفق و خطرآفرين ديگری نيز مواجه میشويم.
اين جاست که متخصصان امنيت و نرمافزار کاربران را از به روزرسانیهای بلافاصله منع میکنند. بسياری از برنامهها به صورت خودکار به روزرسانی میشوند. تقريبا بيشتر نرمافزارهای امروزی از اين مکانيزم بهرهبرداری میکنند اما بسياری از همين نرمافزارها به کاربر حق انتخاب میدهند.
به عنوان نمونه هيچ مرورگری کاربران خود را مجبور به استفاده از نسخههای جديدتر نمیکند. مرورگر فايرفاکس هم از اين قضيه مستثنا نبوده و به طور پيشفرض به محض انتشـار عمومی يک بسته بهروزرسانی آن را دانلود میکند اما به سادگی میتوان روال به روزرسانی خودکار آن را متوقف کرد. در اين ميان هميشه انبوهی از کاربران هستند که بدون توجه به مسائل امنيتی يا حتـی بیخبر از اين موضوع که اين امکان قابل تنظيم اسـت به محصولات نرمافزاری خود اجازه میدهند که خيلی سريع و بدون معطلی به روزرسانی شوند اما يک کاربر حرفهای اين گونه رفتار نمیکند.
اصولا يک بهروزرسانی بايد با آگاهی کامل انجام پذيرد. دقيقا به همين دليل تمام شرکتها بعد از انتشار به روزرسانیهای نرمافزاری، Patch Note منتشر میکننـد. Patch Note مجموعـه تغييرات ريز و درشتی است که نسخـه جديد شاهـد آن تغييرات بوده است.
اين Patch Noteها از منظر کاربران عادی بیاهميت و يا کم اهميت هستند اما متخصصان وسواسی و دقيق آنها را به دقت مطالعه میکنند و اگر نکته خاصی در آنها وجود داشته باشد تا قبل از کسب اطمينان کامل از امنيت و سلامت محصول، بهروزرسانیها را نمیپذيرند.
هيـچگاه نبايـد برای آزمايـش يک نرمافزار تازه منتشر شـده يا تازه بـه روزرسـانی شده پيش قدم بود. در اين مواقع بايد شـور و اشتياق احتمالی برای استفاده از امکانات احتمالا جديد را کنترل کرده و به روزرسانی نرمافزارهای حساس را تا حداقل چند روز به تعويق انداخت.
اين صبر چند روزه همان فرصتی است که پيش قدمهـا، نرمافـزار را امتحان کرده و باگها، حفرهها و ايرادهـای آن را شناسـايی میکنند و اگر خطری در کار بـوده باشد، حتما صـدای خيلیها تا آن زمان درآمـده است.
البته به خاطر داشته باشيد که نبايـد زمـان برخی از بهروزرسانیها را هم چندان به تاخير انداخـت. در صورتی که حفرهای جـدی در يکی از محصولات نرمافزاری مورد استفاده شما شناسايی شد، بهروزرسانیها را خيلی زود دريافت نماييد.
دست آخر باز هم ايمنترين راه برای آسيب نديدن از اين نوع خطرها اين است که برای مدتی از نرمافزارهای مشابه ديگر استفاده شود و نرمافزارهای احتمالا آسيبپذير تا زمان رفع مشکل، بدون استفاده باقی بمانند.