رفع نقص‎های جدی ویندوز، edge و آفیس توسط شرکت مایکروسافت

شرکت مایکروسافت در ژوئن ۲۰۱۶، ۱۶ بیانیه رسمی را در مورد رفع ۴۰ نقطه آسیب‌پذیری در ویندوز، edge، مرورگر اینترنت، آفیس و کارگزار Exchange منتشر کرده است.

پنج بیانیه در مورد نقاط آسیب‌پذیری استفاده از کد کنترل از راه دور در ویندوز، مرورگر اینترنت اکسپلورر، edge و آفیس نکاتی را بیان کرده‌ بودند. یکی از مهم‌ترین این بیانیه‌ها با شماره MS۱۶-۰۷۱، در مورد نقطه آسیب‌پذیری استفاده بعد از آزادسازی (use-after-free) است که مربوط به زمانی است که کارگزارهای سامانه نام دامنه ویندوز نمی‌تواند به خوبی درخواست‌ها را ساماندهی کند.

بنا به بیانیه شرکت مایکروسافت، یک نفوذگر از راه دور می‌تواند از این نقطه آسیب‌پذیری برای استفاده نادرست از رمزها سوءاستفاده کند. این کار از طریق ارسال یک درخواست جعلی به یک کارگزار سامانه نام دامنه مشخص انجام می‌شود.

این بیانیه ۱۰ نقطه آسیب‌پذیری در مرورگر اینترنت اکسپلورر را رفع کرده ‌است که این نقاط ممکن بود توسط نفوذگران از راه دور به منظور استفاده از رمزها با استفاده از صفحات اینترنتی جعلی مورد سوءاستفاده واقع شوند. این نقص‌ها شامل خرابی حافظه، ترفیع امتیاری پروتکل خودبازیابی پروکسی وبگاه و دور زدن فیلتر XSS هستند. سه مورد از این نقص‌ها که در بیانیه مطرح شده‌ بودند، در موتورهای اسکرپیت‌نویسی Jscript و VBScript وجود دارند.

مایکروسافت در مرورگر XSS نیز ۸ نقص را رفع کرده‌ است. دو مورد از این نقص‌ها علاوه بر edge، روی مرورگر اینترنت اکسپلورر نیز تأثیر می‌گذارند. نقص‌های مرتبط با edge شامل نفوذ به اطلاعات امنیتی، افشای اطلاعات و اجرای کد از راه دور است که می‌توان آن‌ها را از طریق پرونده‎های پی‌دی‌اف جعلی مورد سوءاستفاده قرار داد.

مایکروسافت در مورد نرم‌افزار آفیس نیز ۴ نقطه آسیب‌پذیری جدی را که شامل افشای اطلاعات، خرابی حافظه و آسیب‌پذیری‌های مربوط به کتابخانه‌ی پویا (DLL) در OLE می‌شوند را رفع کرده ‌است.

بیانیه‌های امنیتی، نقص‌های ترفیع امتیازی، اجرای کد از راه دور و منع سرویس را در ویندوز و همچنین افشای اطلاعات در Microsoft Exchange را مهم تلقی کرد.

شرکت مایکروسافت تاکنون مواردی از سوءاستفاده از این نقاط آسیب‌پذیری را برای اجرای اهداف خرابکارانه دریافت نکرده‌ است، اما اعلام کرد که جزئیات خرابی حافظه رخ‌داده برای مرورگر edge، ترفیع امتیازی کارگزار SMB در ویندوز و ترفیع امتیازی کشف پروکسی ویندوز و همچنین نقص منع سرویس جستجوی ویندوز را به صورت عمومی اعلان کرده است.

ولفگانگ کاندک، مسئول ارشد بخش تکنولوژی شرکت Qualys اشاره کرد که مایکروسافت ۸۱ بیانیه را در نیمه نخست سال ۲۰۱۶ منتشر کرده ‌است. اگر این مقدار تا پایان سال دو برابر شود، رکوردی جدید در دهه فعلی ثبت می‌شود.

Adobe نیز روز دوشنبه بخش‌های امنیتی خود را به‌روز‌رسانی کرد. این شرکت چند نقطه آسیب‌پذیری را در Creative Cloud، Brackets، DNG SDK و ColdFusion رفع کرده و در حاضر در حال رفع نقص Flash Player Zero-Day است که در چندین حمله کوتاه و حساب‌شده مورد استفاده قرار گرفته‌ بود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.