$
חדשות טכנולוגיה

מיקרוסופט יורה לעצמה ברגל: הדליפה בטעות את מפתחות Secure Boot

ענקית הטכנולוגיה נתפסה עם המכנסיים למטה כאשר חוקרי אבטחה מצאו ששינוי שהיא ביצעה בגרסה האחרונה של ווינדוס 10 מאפשר גישה לתהליך קריטי בווינדוס. מיקרוסופט כבר שיחררה מספר עידכוני אבטחה אך היא עדיין לא הצליחה לחסום לגמרי את הפרצה

רפאל קאהאן 12:2011.08.16

מיקרוסופט הדליפה בטעות את הגישה לתהליך Secure Boot, מה שמאפשר לגורם זדוני להריץ מערכות הפעלה שונות על המחשב או פשוט להתקין נוזקות ורוגלות ברמה הכי בסיסית של המערכת. מדיווח של אתר ZDnet מאתמול (ד') עולה שאת הפרצה חשפו שני חוקרי אבטחת מידע עצמאיים MY123 ו-Slipstream. את הממצאים הם פרסמו בבלוג שלהם עם קריצה לקבוצות הפיראטים של שנות ה-80.

 

מיקרוסופט תמיד זכתה לביקורת על הפתרונות ההנדסיים של מפתחיה, שהעמידו לפעמים את מוצרי החברה באור לא מחמיא. אולם האירוע האחרון חמור במיוחד, שכן  הלכה למעשה מיקרוסופט בחרה כאן בפתרון שחושף את משתמשי מחשבי ווינדוס להשתלטות של גורם עוין.

 

ווינדוס 10. המשתמשים עדיין חשופים ווינדוס 10. המשתמשים עדיין חשופים צילום: מיקרוסופט, יח"צ

 

החברה התקינה מעין דלת אחורית על מנת לעקוף מגבלה שהיא עצמה התקינה בגרסאות קודמות של ווינדוס. עם זאת, המגבלה, שנועדה למנוע עלייה של מערכת הפעלה חיצונית במקביל או במקום ווינדוס, יצרה בעיה עבור הגרסה האחרונה של ווינדוס 10. בשביל לפתור את הבעיה וכנראה בגלל לוח זמנים מוגבל, הטמיעו מהנדסי החברה מעין מעקף שפותח את הגישה ל-Secure Boot, אותה מערכת שמגבילה את הגישה לתהליך העלייה של המחשב.

 

החוקרים עדכנו את החברה על הבעיה כבר במרץ שעבר, אך בתחילה מיקרוסופט בחרה להתעלם מהם. לטענתם ולפי הדיווח של אתרים שונים בתחום, רק באפריל הסכימו ברדמונד להתייחס לבעיה ואף העניקו לחוקרים פרס על מציאתה. מאז שיחררה מיקרוסופט שני עדכונים, אחד ביולי ואחד לפני מספר ימים, שאמורים לסגור את הפרצה. אך מבדיקה שנערכה על ידי חוקרים שונים עולה כי נדרש עדכון נוסף והוא צפוי להגיע רק בספטמבר.

 

הפרשה הזו אולי עשויה להיראות כסוג של התקטננות בין גיקים, אך למעשה מדובר בבעיה חמורה למדי עבור לא מעט משתמשי ווינדוס. הפרצה האמורה אמנם דורשת ידע על מנת לנצל אותה, אך היא פותחת פתח להתקנה של אלמנטים זרים ואף זדוניים שעשויים לעלות לבעלי המחשב ביוקר, תרתי משמע.

 

לא מעט מומחים הקבילו את המעשה של מיקרוסופט לדרישה של ה-FBI להתקנה של דלת אחורית שתאפשר לבולשת גישה לכל מערכת מחשב ובכלל זה סמראטפונים והתקנים מחוברים. מפתח הזהב, כפי שמכונה סוג כזה של דלת אחורית העלה את חמתם של מגיני הפרטיות ולא בכדי. הפאשלה של מיקרוסופט במקרה הנוכחי מראה מה קורה כאשר מפתחות זהב כאלה דולפים, זה תקף לווינדוס, לסמארטפון שלכם וגם למאגר הביומטרי. הישמרו לכם שם.
בטל שלח
    לכל התגובות
    x