عيوب خطيرة اكتشفت في لينكس

أمن المصدر المفتوح يوجه النقد

في الأسبوع الماضي ، أعلنت شركة الأمن البولندية iSec Security Research عن ثغرات أمنية جديدة في أحدث نواة لينكس مما قد يسمح للمهاجمين برفع امتيازاتهم على الجهاز وتنفيذ البرامج كمسؤول أساسي.

هذه ليست سوى أحدث حلقة في سلسلة من نقاط الضعف الأمنية الخطيرة أو الحرجة المكتشفة في لينكس خلال الأشهر القليلة الماضية. من المحتمل أن تكون غرفة الاجتماعات في شركة مايكروسوفت قد حصلت على بعض التسلية ، أو على الأقل الشعور ببعض الراحة ، من المفارقة التي يفترض أن تكون المصادر المفتوحة أكثر أمانًا ، ومع ذلك لا تزال توجد هذه العيوب الحرجة.

إنه يفتقد العلامة رغم أنه في رأيي أن يزعم أن البرامج مفتوحة المصدر أكثر أمانًا بشكل افتراضي. بالنسبة للمبتدئين ، أعتقد أن البرنامج آمن فقط كمستخدم أو مسؤول يقوم بتكوينه وصيانته. على الرغم من أن البعض قد يجادل بأن Linux أكثر أمانًا من خارج الصندوق ، فإن مستخدم Linux غير جاهز تمامًا مثل مستخدم Microsoft Windows جاهل.

الجانب الآخر من ذلك هو أن المطورين لا يزالون بشر. من بين آلاف وملايين الأسطر التي تشكل نظام تشغيل ، يبدو من الإنصاف القول بأنه قد يتم تفويت شيء ما وأن يتم اكتشاف نقطة ضعف في النهاية.

هنا يكمن الفرق بين المصدر المفتوح والملكية. قامت شركة EEye Digital Security بإخطار شركة Microsoft بشأن العيوب بتنفيذها لـ ASN.1 قبل ثمانية أشهر من إعلانها في النهاية عن الضعف علانية وإصدار التصحيح. كانت تلك ثمانية أشهر تمكن خلالها الأشرار من اكتشاف واستغلال الخلل.

من ناحية أخرى ، يميل المصدر المفتوح إلى تصحيحه وتحديثه بشكل أسرع. هناك العديد من المطورين الذين لديهم إمكانية الوصول إلى الكود المصدري الذي تم اكتشافه بمجرد اكتشاف خلل أو ثغرة أمنية وأعلن عن تصحيح أو تحديث في أسرع وقت ممكن. لينكس غير معصوم ، ولكن يبدو أن مجتمع المصدر المفتوح يتفاعل بسرعة أكبر مع القضايا عند ظهورها ويستجيب مع التحديثات المناسبة بشكل أسرع بدلاً من محاولة دفن وجود الضعف حتى يتعامل معه.

ومع ذلك ، يجب أن يكون مستخدمو Linux على دراية بهذه الثغرات الجديدة والتأكد من بقائهم على اطلاع بأحدث التصحيحات والتحديثات من موردي Linux المختصين. أحد التحذيرات مع هذه العيوب هو أنها غير قابلة للاستغلال عن بعد. وهذا يعني أن مهاجمة النظام باستخدام نقاط الضعف هذه يتطلب أن يكون لدى المهاجم حق الوصول المادي إلى الجهاز.

يتفق العديد من خبراء الأمن على أنه بمجرد وصول المهاجم إلى حاسوب ما ، تكون القفازات متوقفة عن العمل ، ويمكن تجنب أي تأمين في النهاية. إنها نقاط الضعف التي يتم استغلالها عن بعد - العيوب التي يمكن مهاجمتها من أنظمة بعيدة أو خارج الشبكة المحلية - تمثل الخطر الأكبر.

لمزيد من المعلومات ، راجع أوصاف الضعف التفصيلية من iSec Security Research على يمين هذه المقالة.