Tagمایکروسافت

دلیل طولانی شدن انتشار وصله امنیتی مایکروسافت برای حفره خطرناک Word

دلیل طولانی شدن انتشار وصله امنیتی مایکروسافت برای حفره خطرناک Word

به نظر می رسد رفع یک حفره امنیتی خطرناک در نرم افزار Word مایکروسافت، که به هکرها امکان ارسال میلیون ها باج افزار به کاربران را می داد، مدت زیادی کارشناسان این غول بزرگ فناوری را به خود مشغول کرده است.

این حفره امنیتی که با کد CVE-2017-0199 شناخته می شود، به هکرها این امکان را می داد تا با به جا گذاشتن کمترین ردی از خود، کنترل کامپیوترهای شخصی را در اختیار بگیرند. این حفره امنیتی، 9 ماه پس از شناسایی، در نهایت در تاریخ 11 آوریل و با عرضه بروزرساتی امنیتی مایکروسافت، رفع شد.

«مارتن میکوس»، مدیر ارشد اجرایی کمپانی معتبر HackerOne که نخستین پلتفرم در زمینه نظارت و شناسایی حفره های امنیتی محسوب می شود و وظیفه نظارت بر تلاش های محققان و فروشندگان کامپیوترهای شخصی در زمینه عرضه وصله های امنیتی را برعهده دارد، اعلام کرد: هرچند تاخیر 6 ماهه مایکروسافت، خوشایند نیست اما این اتفاق بی سابقه ای محسوب نمی شود.

میکوس افزود: رفع اینگونه مشکلات به طور طبیعی چندین هفته طول می کشد. با این حال، مایکروسافت تاکنون در رابطه با اینکه رفع یک حفره امنیتی چه مدت طول می کشد، اظهار نظری نکرده است.

کارشناسان مایکروسافت دریافتند که هکرها با یافتن این حفره، اقدام به دستکاری کدهای نرم افزار مایکروسافت Word کرده و با کمک آن از برخی افراد روس، احتمالا در اوکراین جاسوسی کرده اند؛ همچنین، گروهی از سارقان اینترنتی از این حفره امنیتی با مقاصد سرقت از حساب بانکی میلیونها نفر در استرالیا و سایر نقاط جهان استفاده کرده اند.

این اظهارنظرها و جزییات حملات هکری، از مصاحبه با محققان و کارشناسانی که در شرکت های مختلف امنیتی روی این رویداد مطالعه و تحقیق کرده اند و همچنین از تحلیل نسخه های مختلف کد حملات سایبری فوق استخراج شده است ضمن اینکه مایکروسافت نیز سلسله موارد مختلفی از این حملات را تایید کرده است.

ماجرای این حملات سریالی، در ماه جولای سال گذشته، و هنگامی برملا شد که «رایان هنسن»، مشاور امنیتی شرکت Optiv Inc متوجه وجود برخی ضعف ها و اشکالات در فرآیندهای مایکروسافت Word در مسیر تبدیل اسناد این نرم افزار به فرمت های دیگر شد. این حرفه امنیتی به وی این امکان را می داد تا بتواند با قراردادن لینکی در یک بدافزار، کنترل کامپیوتر قربانی را در دست بگیرد.

هنسن در حساب توئیتر خود اذعان کرده که چند ماهی را روی یافته های خود کار کرده و با کمک حفره های امنیتی دیگر، باج افزار خود را خطرناک تر کرده است. او سپس در ماه اکتبر سال گذشته این موضوع را با کمپانی مایکروسافت مطرح می کند. این کمپانی اغلب به افرادی که موفق به یافتن حفره های امنیتی می شوند، مبلغ چند هزار دلاری به عنوان پاداش پرداخت می کند.

گرچه به نظر می رسید کمپانی مایکروسافت، بلافاصله پس از اطلاع از این موضوع، یعنی 6 ماه پیش بتواند این مشکل را رفع کند اما رفع این حفره امنیتی چندان هم آسان نبود. هرچند یکی از راه حل های موقتی برای رفع این مشکل، اعمال یک تغییر سریع در تنظیمات نرم افزار مایکروسافت Word بود اما اگر مایکروسافت به طور رسمی استفاده کنندگان از نرم افزار آفیس را از وجود این حفره مطلع می کرد، راه را برای هکرها نیز باز می کرد تا راحت تر بتوانند جلوی این راهکار موقت را هم بگیرند.

راهکار دیگر مایکروسافت، انتشار یک وصله امنیتی بود که می بایست به عنوان بخشی از آپدت های نرم افزاری ماهانه خود عرضه می کرد. اما این کمپانی خیلی سریع وصله امنیتی خود را منتشر نکرد بلکه تلاش کرد تا تحقیقات بیشتری در این رابطه انجام دهد.

هنوز مشخص نبود که آیا فرد دیگری هم توانسته از همین شیوه هنسن استفاده کند یا خیر، چرا که مایکروسافت قصد داشت یک راه حل کامل برای این معضل پیدا کند.

یکی از سخنگویان کمپانی مایکروسافت در بیانیه ای اعلام کرد: ما روی روش های مشابه احتمالی دیگری نیز مطالعه کردیم تا مطمئن شویم راه حل ارائه شده می تواند مشکلات دیگری را غیر از مشکل گزارش شده رفع کند. بنابراین، این یک تحقیق بسیار پیچیده محسوب می شود.

در تمامی این مدت، هنسن به تمامی درخواست ها برای مصاحبه پاسخ منفی داد.

با این حال، هنوز مشخص نیست که چگونه هکرهای ناشناس از همان ابتدا از حفره امنیتی که هنسن پیدا کرد، باخبر شدند. شاید این اکتشاف همزمان رخ داده باشد یا لو رفتن فرآیند عرضه بسته امنیتی باعث آن شده یا حتی یک حمله هکری علیه مایکروسافت یا کمپانی Optiv عامل رخنه این اطلاعات باشد.

در ماه ژانویه 2017 میلادی و در حالی که مایکروسافت در حال کار کردن روی راه حل این مشکل بود، حملات هکرها نیز اوج گرفت. حملات اولیه، با دقت بسیار زیاد، با هدف قرار دادن تعداد محدودی از قربانیان انجام شد بنابراین این حملات تحت نظر باقی ماندند. اما در ماه مارس، کارشناسان امنیتی در شرکت FireEye، یک باج افزار به نام LatenBot را شناسایی کردند که با استفاده از باگ مشابه مایکروسافت منتشر شده بود.

کمپانی FireEye تحقیقات گسترده تری انجام داد و توانست اولین حملاتی که به زبان روسی انجام شد را کشف کرده و مایکروسافت را از آن باخبر کند. این کمپانی ضمن تایید اینکه در ماه مارس از حملات فعال باخبر شده، برای انتشار نخستین وصله امنیتی خود در تاریخ 11 آوریل دست به کار شد.

کار به جایی رسید که از این حفره امنیتی، به یک فاجعه در دنیای کارشناسان امنیتی یاد شد و در تاریخ 6 آوریل نیز کمپانی تولید نرم افزارهای امنیتی McAfee شاهد وقوع حملات مشابهی بود که در آنها از حفره امنیتی مایکروسافت استفاده شده بود.

کمپانی McAfee، پس از انجام مطالعاتی که از آن با عنوان «تحقیقات سریع و عمیق» یاد کرد، متوجه شد که وصله امنیتی مایکروسافت نتوانسته این حفره را رفع کند؛ این کمپانی سپس این موضوع را به اطلاع مایکروسافت رساند و در تاریخ 7 آوریل آن را در وبلاگ خود منتشر کرد.  کمپانی McAfee‌در این مطلب، جزییات کاملی از سایر هکرهایی که امکان تکرار حملات مشابهی داشتند، منتشر کرد.

سایر کارشناسان امنیت نرم افزار، از اینکه McAffe اینقدر سریع و عجولانه واکنش نشان داد، دچار بهت و نگرانی شدند در حالی که کمپانی هایی چون Optiv و FireEye تا زمان ارائه وصله امنیتی مایکروسافت، ترجیح دادند این موضوع را رسانه ای نکنند.

«وینسنت ویفر»، معاون کمپانی McAfee، علت این اتفاق را یک اشتباه سهوی در مذاکرات این شرکت با کمپانی شریک خود یعنی مایکروسافت، بر سر زمان بندی گزارش این حفره امنیتی اعلام کرد.

 

«جان هالتکوئیست»، یکی از محققان کمپانی FireEye می گوید: تا تاریخ 9 آوریل، نرم افزاری که قادر به شناسایی و استخراج این حفره بود، در بازارهای زیرزمینی در دسترس هکرهای مجرم قرار داشت.

یک روز بعد، این حملات سایبری شدت گرفت. فردی با استفاده از بدافزار سرقت اطلاعات بانکی Dridex و نرم افزار فوق، اسنادی حاوی کدهای مخرب برای میلیونها نفر از کاربران کامپیوترهای شخصی در استرالیا ارسال کرد.

در نهایت، در روز سه شنبه 11 آوریل، یعنی 6 ماه بعد از آنکه مایکروسافت گزارش این حفره امنیتی را از هنسن دریافت کرد، با کمک FireEye، هنسن، و کارشناسان مایکروسافت، در نهایت وصله امنیتی آماده و عرضه شد؛ اما مانند همیشه، برخی کاربران هنوز هم در دریافت و نصب این بروزرسانی تنبلی کرده اند.

 

The post appeared first on .

دلیل طولانی شدن انتشار وصله امنیتی مایکروسافت برای حفره خطرناک Word

کارگردان سابق مایکروسافت: کینکت یک فاجعه بود

کارگردان سابق مایکروسافت: کینکت یک فاجعه بود

پیتر مولینیو، خالق سری بازی های محبوبی همچون Fable و Black & White از بزرگترین حامیان کینکت اکس باکس 360 در زمان معرفی اش بود و حتی یک بازی به نام «پروژه مایلو» را نیز برای آن به نمایش گذاشت که بسیاری را متحیر کرد.

پروژه مایلو در زمان خود (و حتی همین امروز)، به قدری جاه طلبانه و بزرگ بود که هیچگاه تکمیل و عرضه نشد و حتی اسباب جدال لفظی و علنی مولینیو و یکی از مدیران ارشد مایکروسافت را نیز به همراه داشت، اتفاقی که درون یک سازمان بزرگ به ندرت رخ می دهد.

در نهایت، مولینیو با وجود تمام تلاش هایی که کرده بود از مایکروسافت جدا شد و سری Fable را به دست استودیویی که سال ها پیش تاسیس کرده بود سپرد. نتیجه آنکه .

حالا اما مولینیو به عنوان یکی از وفادارترین کارگردان های دهه گذشته به مایکروسافت و برند اکس باکس در مصاحبه اخیر خود با آی جی ان گفته: «کینکت اکس باکس 360 یک فاجعه بود»

مولینیو در تلاش بود تا پروژه مایلو را به ثمر برساند، گیمی که در آن می توانستید روبروی تلویزیون بایستید، با پسر بچه ای درون تلویزیون مکالمه کنید و جواب بشنوید. مایکروسافت می گفت پروژه مایلو فقط یک دمو برای نمایش قابلیت های کینکت بود اما مولینیو در برابر حرف مدیران بالا رده خود ایستاد و در بیانیه های رسانه ای گفت پروژه مایو یک بازی کامل است و دمو نیست.

مولینیو در سال 1996 استودیو لاینهد را تاسیس کرد و ده سال بعد مایکروسافت آن را به مالکیت خود در آورد. کمتر از ده سال دیگر طول کشید تا مایکروسافت تصمیم بگیرد این استودیو را تعطیل کرده و هزینه بیشتری برای آن نکند. با رفتن مولینیو از لاینهد، پروژه های شرکت با شکست مواجه شدند و بازدهی بالایی نداشتند.

در رابطه با مولینیو و استودیو Lionhead بیشتر بخوانید:

The post appeared first on .

کارگردان سابق مایکروسافت: کینکت یک فاجعه بود

عرضه کورتانا 2.0 برای سیستم عامل iOS؛ مایکروسافت در تلاش برای رقابت با سیری

عرضه کورتانا 2.0 برای سیستم عامل iOS؛ مایکروسافت در تلاش برای رقابت با سیری

رقابت میان دستیارهای صوتی دیجیتال روز به روز بیشتر شده و به نظر می رسد در سال آینده حداقل با چند نام جدید در این حوزه رو به رو شویم. در این زمینه مایکروسافت نیز با کورتانا سخت در تلاش است تا دستیار هوشمندی بی نقص را برای استفاده کاربران عرضه کند و در همین رابطه نیز اخیراً کورتانا 2.0 را برای سیستم عامل iOS بروز رسانی کرده است.

کورتانا یکی از دستیارهای هوشمند است که از چندین پلتفرم پشتیبانی می کند و علاوه بر آنکه به صورت پیش فرض در قلب گجت های مجهز به ویندوز 10 جای دارد، قابلیت نصب روی iOS و اندروید را نیز داراست.

اما اگر بخواهیم به ویژگی های تازه ای که کورتانا 2.0 با خود به همراه داشته اشاره کنیم، اولین تغییر بزرگ رابط کاربری جدید آن بوده که در واقع به معنای جایگزینی رنگ خاکستری تیره زمینه با بنفش و همچنین برخی قابلیت های بیشتر نسبت به گذشته است.

گفتنی است علاوه بر آن ردموندی ها به بازطراحی تماس ها، پیام ها و یادآور اپلیکیشن نیز پرداخته اند. همچنین اکنون کورتانا می تواند در یافتن پاسخ سؤالاتی که ممکن است برایتان پیش آید به شما کمک کند و یافته ها را به شکل تمام صفحه نمایش دهد.

لازم به ذکر است مایکروسافت وعده داده که کورتانا 2.0 بسیار بهتر از گذشته عمل کرده و «عملکرد و پاسخگویی بهبود یافته» را به کاربران ارائه دهد.

ناگفته نماند که تلاش مایکروسافت برای بهبود هرچه بیشتر کورتانا روی iOS و اندروید قابل تحسین است اما به نظر نمی رسد که آپدیت جدید چندان به محبوبیت دستیار هوشمند صوتی ردموندی ها در دو پلتفرم یاد شده کمک کند.

شاید به خواندن این مطالب هم علاقه مند باشید:

The post appeared first on .

عرضه کورتانا 2.0 برای سیستم عامل iOS؛ مایکروسافت در تلاش برای رقابت با سیری

با 5 ویژگی نسخه بعدی مایکروسافت اج بیشتر آشنا شوید

با 5 ویژگی نسخه بعدی مایکروسافت اج بیشتر آشنا شوید

اگر از کاربران قدیمی اینترنت باشید، احتمالاً آخرین باری که از یک مرورگر قدیمی به مرورگر مایکروسافت نقل مکان کردید به اواخر دهه ی 90 میلادی باز می گردد؛ زمانی را می گوییم که مرورگر اینترنت اکسپلورر برای اولین بار رونمایی شد.

همانطور که می دانید با رونمایی از مرورگر اج، کمپانی مایکروسافت پشتیبانی از اینترنت اکسپلورر را متوقف کرد. این قطع پشتیبانی در شرایطی اتفاق افتاد که بیشتر کاربران به مرورگرهایی چون فایرفاکس و کروم کوچ کرده و از انتخاب خود راضی بودند.

شرایطی که گفتیم هنوز هم ادامه دارد؛ با این حال مایکروسافت پشتیبانی همه جانبه ای از سرویس ویندوز 10 و مرورگر جدید آن دارد و می خواهد بدین وسیله نظرات را راجع به مایکروسافت اج به کلی تغییر دهد. در رابطه با همین موضوع اهالی ردموند به روز رسانی بزرگ و جامعی که Creators نامیده می شود را برای این سرویس در نظر گرفته اند.

این به روز رسانی ویژگی های جدیدی برای مایکروسافت اج به همراه دارد که در ادامه قصد داریم شما را به 5 ویژگی نسخه بعدی آن آشنا سازیم؛ پس تا پایان مطلب با ما همراه باشید.

1- قابلیت نوار پیش نمایش تب ها

در جدیدترین نسخه ی مایکروسافت اج، این مرورگر نواری به نام «نوار پیش نمایش تب ها» که شامل تمامی تب های باز شده است را در معرض دید کاربر می گذارد. با کلیک روی دکمه پیکان رو به پایین که در سمت راست تب فعلی قرار دارد، درست در بالای مرورگر، تصاویری بند انگشتی از تب های باز شده برای کاربر به نمایش در می آید.

این قابلیت در مفهوم برای تلفن های هوشمند کاربردی است، اما در عمل به نظر می رسد فاویکون ها (نمادک های سایت) شاخص های بهتری برای مشاهده ی آنچه که در مرورگر وجود دارد به شمار می روند. حتی روی یک نمایشگر بزرگ این تصاویر بند انگشتی به اندازه ی کافی بزرگ نیستند تا بتوان اطلاعات مورد نیاز را از آن ها دریافت کرد.

با این حال اگر چند تب مختلف از یک سایت باز کرده اید قابلیت «نوار پیش نمایش تب ها» می تواند کمک حالتان باشد.

2- مجموعه تب های کنار گذاشته شده

آیا تعداد زیاد تب های باز شده شما را آزار می دهد؟ با استفاده از نسخه بعدی مایکروسافت اج می توانید با کلیک روی دکمه ای که در سمت چپ تب فعلی قرار گرفته آن ها را کنار بگذارید. به عبارت دیگر آن ها در یک مجموعه نگهداری می شوند و در آینده قادر هستید تب های مورد نظر را به صورت گروهی و یا جداگانه مجدداً باز نمایید.

علاوه بر این می توانید تب هایی که نمی خواهید را از مجموعه فوق حذف کنید. این قابلیت بسیار مفید است چرا که ضمن حفظ کردن تب ها در یک مجموعه، از اجرا شدن آن ها در پس زمینه و به هدر رفتن منابع سیستم تان جلوگیری می کند. با این حال هنگام استفاده از این ویژگی تمامی تب های شما کنار گذاشته می شوند.

امیدوار هستیم با به روز رسانی های آینده این قابلیت نیز انعطاف پذیرتر شده و حق انتخاب بیشتری در اختیار کاربر بگذارد.

3- گزینه های جدید تسک بار

نسخه ی بعدی اج دو گزینه ی جدید را به منوی تسک بار این مرورگر اضافه می کند. با راست کلیک کردن روی آیکن مایکروسافت اج در تسک بار (یا سوایپ کردن به سمت بالا در صفحات لمسی) با این دو گزینه ی جدید که به نام New window و New InPrivate window شناخته می شوند، مواجه خواهید شد.

رسیدن به این دو صفحه همچنان یک فرآیند دو کلیکی به شمار می رود، با این تفاوت که حالا دیگر نیاز نیست وارد مایکروسافت اج شده و با استفاده از منوی سه نقطه یک پنجره جدید باز کنید. همچنین در صورت نیاز می توانید از کلید میانبر Ctrl-N برای باز کردن پنجره جدید و از کلید میانبر Ctrl-Shift-P برای باز کردن پنجره جدید InPrivate استفاده نمایید.

4- کار محتویات فلش تمام است

در نهایت فلش نتیجه ی جنگ را به HTML 5 واگذار کرد، دلیل آن هم مشخص است؛ HTML 5 در مقابل فلش امنیت، عملکرد و بهره وری بهتری را برای کاربران اینترنتی به ارمغان می آورد. اگر وبسایتی از HTML 5 پشتیبانی کند، مرورگر اج به طور پیش فرض از آن استفاده و محتویات فلش را بارگذاری نمی کند.

در سایت هایی که هنوز هم از فلش استفاده می کنند، مرورگر اج پیش از آن که قادر به اجرای محتویات فلش باشید آن ها را مسدود می نماید. با این حال قادر هستید با کلیک روی یکی از دو گزینه ی Allow once یا Always allow به این عمل خاتمه دهید.

5- مایکروسافت اج به عنوان یک ابزار کتاب خوان

شما به زودی قادر هستید ای بوک های مورد علاقه ی خود را از فروشگاه ویندوز خریداری کنید و به وسیله ی مرورگر اج مشغول خواندن آن ها شوید. در نسخه ی بعدی مایکروسافت اج بین آیکن های Reading list و History شاهد آیکن جدیدی تحت عنوان Books خواهید بود.

از اینجا می توانید فهرست کتاب های خریداری شده را ببینید و یا با باز کردن فروشگاه ویندوز برای خرید کتاب اقدام کنید. علاوه بر این در هنگام خواندن ای بوک ها در مایکروسافت اج، در صورتی که روی دکمه موجود در بالا و سمت راست مرورگر کلیک نمایید، مایکروسافت اج به صورت خودکار شروع به خواندن کتاب برای شما می کند.

در بخش تکنولوژی دیجیاتو بخوانید:

The post appeared first on .

با 5 ویژگی نسخه بعدی مایکروسافت اج بیشتر آشنا شوید

گوگل مشکلات امنیتی مرورگرهای مایکروسافت را به شکل عمومی منتشر کرد

گوگل مشکلات امنیتی مرورگرهای مایکروسافت را به شکل عمومی منتشر کرد

تیم متخصصان امنیت سایبری گوگل موسوم به «پروژه صفر» روز گذشته جزییات آسیب پذیری مرورگرهای اینترنتی مایکروسافت،‌ یعنی Edge و اینترنت اکسپلورر ۱۱ را منتشر کردند و خبر دادند که این آسیب پذیری، در سطح جدی بوده به هکرها اجازه توسط کد مخرب، مرورگر را در دستگاه کاربر از کار اندازد.

اما چرا تیم امنیتی گوگل این مسئله را به شکل عمومی مطرح کرده؟ علت این است که بیش از ۹۰ روز پیش، در تاریخ ۲۵ نوامبر ۲۰۱۶، این تیم مایکروسافت را از وجود چنین باگی در مرورگرهایش آگاه می کند. پس از برطرف نشدن باگ، گوگل تصمیم می گیرد این مسئله را به شکل عمومی مطرح کند.

محقق گوگل، «ایوان فرتریک» در بیانیه خود که در همین رابطه منتشر شده، توضیح می دهد که هیچ تمایلی به فاش کردن آسیب پذیری،‌ پیش از برطرف سازی آن نداشته است. در اصل تیم «پروژه صفر» در گوگل همواره فرصتی ۹۰ روزه را در دستور کار خود قرار می دهد تا شرکت یا سازمان با نرم افزار آسیب پذیر، بتواند مشکل را حل کند. پروژه صفر پس از این فرصت ۹۰ روزه،‌ آسیب پذیری ها را در پایگاه داده ثبت می کند.

پایگاه داده ملی آسیب پذیری در آمریکا اکنون این مشکل مرورگرهای مایکروسافت را در لیست مشکلات با ریسک بالا قرار داده و می نویسد که این آسیب پذیری به هکر اجازه می دهد تا به شکل ریموت، کدهای مخرب را روی سیستم قربانی اجرا کند.

لازم به ذکر است که هنوز هیچ گزارشی مبنی بر استفاده گسترده از آسیب پذیری مورد بحث شنیده نشده است. با این حال مایکروسافت هنوز برای آسیب پذیری هایی که توسط گوگل کشف شده اند راهکاری ارائه نداده است. در همین رابطه، یکی از سخنگویان مایکروسافت چنین اظهار نظری دارد:

appeared first on .

گوگل مشکلات امنیتی مرورگرهای مایکروسافت را به شکل عمومی منتشر کرد