کمپانی موزیلا؛ حفره امنيتی خطرناک در فایرفاکس 16 را تأیید کرد!

[Hessam]

شرکـت موزيلا هفته گذشته جديد‌ترين نسخه از مرورگر اينترنتی محبوب و پرطرفدار خود را منتشر کرد. اين مرورگر شانزدهمين نسخه از فايرفاکس محسوب می‌شود.

درست چند ساعت بعد از انتشار عمومی اين مرورگر وب، يک محقق امنيتی مستقل، يک آسيب‌پذيری جدی و خطرناک را در اين مرورگر جديد يافت. اين آسيب‌پذيری با استفاده از چند خط کد خطرناک به مهاجمان احتمالی امکان می‌داد تا فهرست تاريخچه مراجعات کاربر به سايت‌ها و URLهای مختلف را استخراج کنند.
اين جا بود که برای اولين بار در تاريخ شرکت موزيلا به روزرسانی مرورگر فايرفاکس متوقف شد. اين در حالی بود که ميليون‌ها کاربر اين مرورگر به طور خودکار اين به روزرسانی را دانلود کرده بودند و ديگر کاری از دست فايرفاکس ساخته نبود. شرکت فايرفاکس به کاربران خود اعلام کرد که مرورگر خود را به نسخـه‌ پانـزدهم بازگردانند. متاسفانه مکانيزم مناسبی نيز برای انجام اين کار به طور خودکار وجود ندارد و کاربر بايد مرورگر را به شکل کامل از رايانه خود حذف کرده و سپس به دانلود و نصب مجدد نسخه قديمی اين مرورگر اقدام نمايد.
البته خوشبختانه موزيلا با يک کار شبانه‌روزي، بعد از گذشت دو روز اين مشکل را برطرف کرد و نسخه 16.0.1 را منتشر کرد که از طريق حفره ياد شده، آسيب‌پذير نيست.
در طی چند هفتـه گذشته چند بـار شاهـد رويداد وقايع مشابهی بوديم. جديد‌ترين نسخه از جاوا ميليون‌ها کاربر را در معرض خطر قرار داد؛ در حالی که نسخه پيشين آن آسيب‌پذير نبود. جديدترين بـه روزرسانی IE آن را به شرايط بحرانی برد و مايکروسافت را مجبور کرد که آن را خارج از وقت معين به روزرسانی کند. شرکت اپل با به روزرسانی نقشه گوگل در تبلت‌ها و آيفون‌ها انبوهی از کاربران خود را سردرگم کرد و در نهايت مدير اين شرکت با معذرت خواهی از کاربران محصولات اپل، آن‌ها را در اقدامی بی‌سابقه به استفاده از محصول گوگل دعوت کرد و اگر در گذشته‌ها نيز کمی دقيق‌تر شويم، با به روزرسانی‌های ناموفق و خطرآفرين ديگری نيز مواجه می‌شويم.
اين جاست که متخصصان امنيت و نرم‌افزار کاربران را از به روزرسانی‌های بلافاصله منع می‌کنند. بسياری از برنامه‌ها به صورت خودکار به روزرسانی می‌شوند. تقريبا بيشتر نرم‌افزارهای امروزی از اين مکانيزم بهره‌برداری می‌کنند اما بسياری از همين نرم‌افزارها به کاربر حق انتخاب می‌دهند.
به عنوان نمونه هيچ مرورگری کاربران خود را مجبور به استفاده از نسخه‌های جديدتر نمی‌کند. مرورگر فايرفاکس هم از اين قضيه مستثنا نبوده و به طور پيش‌فرض به محض انتشـار عمومی يک بسته به‌روزرسانی آن را دانلود می‌کند اما به سادگی می‌توان روال به روزرسانی خودکار آن را متوقف کرد. در اين ميان هميشه انبوهی از کاربران هستند که بدون توجه به مسائل امنيتی يا حتـی بی‌خبر از اين موضوع که اين امکان قابل تنظيم اسـت به محصولات نرم‌افزاری خود اجازه می‌دهند که خيلی سريع و بدون معطلی به روزرسانی شوند اما يک کاربر حرفه‌ای اين گونه رفتار نمی‌کند.
اصولا يک به‌روزرسانی بايد با آگاهی کامل انجام پذيرد. دقيقا به همين دليل تمام شرکت‌ها بعد از انتشار به روزرسانی‌های نرم‌افزاری، Patch Note منتشر می‌کننـد. Patch Note مجموعـه تغييرات ريز و درشتی است که نسخـه جديد شاهـد آن تغييرات بوده است.
اين Patch Noteها از منظر کاربران عادی بی‌اهميت و يا کم اهميت هستند اما متخصصان وسواسی و دقيق آن‌ها را به دقت مطالعه می‌کنند و اگر نکته خاصی در آن‌ها وجود داشته باشد تا قبل از کسب اطمينان کامل از امنيت و سلامت محصول، به‌روزرسانی‌ها را نمی‌پذيرند.
هيـچ‌گاه نبايـد برای آزمايـش يک نرم‌افزار تازه منتشر شـده يا تازه بـه روزرسـانی شده پيش قدم بود. در اين مواقع بايد شـور و اشتياق احتمالی برای استفاده از امکانات احتمالا جديد را کنترل کرده و به روزرسانی نرم‌افزارهای حساس را تا حداقل چند روز به تعويق انداخت.
اين صبر چند روزه همان فرصتی است که پيش قدم‌هـا، نرم‌افـزار را امتحان کرده و باگ‌ها، حفره‌ها و ايرادهـای آن را شناسـايی می‌کنند و اگر خطری در کار بـوده باشد، حتما صـدای خيلی‌ها تا آن زمان درآمـده است.
البته به خاطر داشته باشيد که نبايـد زمـان برخی از به‌روزرسانی‌ها را هم چندان به تاخير انداخـت. در صورتی که حفره‌ای جـدی در يکی از محصولات نرم‌افزاری مورد استفاده شما شناسايی شد، به‌روزرسانی‌ها را خيلی زود دريافت نماييد.
دست آخر باز هم ايمن‌ترين راه برای آسيب نديدن از اين نوع خطرها اين است که برای مدتی از نرم‌افزارهای مشابه ديگر استفاده شود و نرم‌افزارهای احتمالا آسيب‌پذير تا زمان رفع مشکل، بدون استفاده باقی بمانند.

[Beni7192]

بله این هم جزء سوتی های بزرگ شرکت های نرم افزاری بود!
من از موزیلا به عنوان مرورگر دوم استفاده میکنم که خدا رو شکر بعد از پچ جدید اپدیت کردم!
والّا ممکن اطلاعات سری و فوق محرمانه از کامپیوترم دزدی بشه:دی

[shahidamlaki]

سلام

ولی باز من از فایرفاکس استفاده میکنم البته کروم هم چیز خوبیه ولی فایرفاکس راحت ترم