نه تنها اپل، بلکه مایکروسافت کلیدهای پادشاهی خود را نیز فاش کرد
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
ما اخیرا در تعدادی از مشکل امنیتی جدی توسط اپل که به افراد آگاه امکان دسترسی آسان به رایانه شخصی یا حتی خانه شما را می دهد.
همانطور که اغلب اتفاق می افتد، سرنوشت وسوسه انگیز است، اما به نظر می رسد که مایکروسافت دارای مشکلات امنیتی بسیار جدی خود است و برخلاف اپل، آنها در پاسخ به این مشکل بسیار کند عمل می کنند.
آی تی نیوز گزارش می دهدماتیاس گلیوکا، توسعهدهنده نرمافزار کلاه، دریافت که مایکروسافت یک گواهی به اصطلاح امنیتی لایه حملونقل وحشی (TLS) ارائه میکند که شامل یک کلید خصوصی هنگام تنظیم یک محیط تست جعبه ایمنی برای Dynamics 365، مدیر ارتباط با مشتری مایکروسافت و نرمافزار برنامهریزی منابع سازمانی است. هنگامی که کلید صادر می شد به هر هکری اجازه می داد تا ترافیک درهم شده با اعتبار دیجیتال را رمزگشایی کند و هویت سرور را جعل کند و ارتباطات مشتری را بدون شناسایی آشکار کند. همچنین تمام دامنه های *.sandbox.operations.dynamics.com را پوشش می دهد (حتی برای شرکت های دیگر)، به این معنی که گواهی به همه محیطهای جعبه ایمنی Dynamics 365 دسترسی خواهد داشت. جعبه های ماسه ای، که برای آزمایش استفاده می شوند، اغلب حاوی یک آینه کامل از پایگاه داده نهایی هستند.
البته، هر شرکتی اشتباه می کند، اما واکنش آهسته مایکروسافت به این موضوع، بخشی بود که واقعا غیر قابل توجیه بود. Gliwka در اواسط ماه اوت آسیبپذیری را به مرکز پاسخگویی امنیتی مایکروسافت (MSRC) گزارش کرد، اما مایکروسافت فکر نمیکرد که این مشکل با "نقطه خدمات امنیتی" مطابقت داشته باشد، زیرا معتقد بود یک مهاجم به اعتبارنامه مدیریت نیاز دارد. گلیوکا تا ماه اکتبر تلاش های بیشتری انجام داد، زمانی که به طور عمومی در توییتر از مایکروسافت در مورد مشکل پرسید. فقط در آن زمان بود که به او گفتند به زودی رفع خواهد شد.
با وجود این اطمینان، مایکروسافت گواهی Dynamics 365 فاش شده را باطل نکرد تا اینکه رسانه های آلمانی در نوامبر درگیر شدند و یک روزنامه نگار بلیتی را در سیستم ردیاب اشکال موزیلا باز کرد.
مایکروسافت تنها 100 روز پس از اولین گزارش، حل این مشکل را هفته گذشته به پایان رساند.
همانطور که قبلا ذکر شد، هر شرکتی خطاهایی مرتکب می شود، اما تنها در صورتی تبدیل به اشتباه می شوند که شما از رفع آنها خودداری کنید. با توجه به اینکه پایگاههای اطلاعاتی CRM حاوی حجم عظیمی از دادهها هستند، معمولاً عموم مردم، توجیه چنین نگرش سهلآمیزی نسبتاً دشوار به نظر میرسد، و ما امیدواریم که این شرکت بتواند در آینده بهتر عمل کند.
جزئیات بیشتر در مورد موضوع را در پست متوسط گلیوکا در اینجا.