عملاق إنترنت إكسبلورر التصحيح في أغسطس التصحيح التصحيح

قامت Microsoft بإصلاح 37 نقطة ضعف في برنامج Internet Explorer والإصدارات المدعومة من Windows كجزء من إصدار أغسطس تصحيح الثلاثاء.

كانت هناك تسع نشرات أمنية لشهر آب (أغسطس) ، تم تصنيف اثنتين منها على أنها حرجة ، وفقًا لتقرير Microsoft. قام التحديث التراكمي لجميع الإصدارات المدعومة من Internet Explorer بإصلاح 26 خطأ ، بما في ذلك الإصدار الذي تم الكشف عنه علنًا في Black Hat ، وينبغي اعتباره الأولوية القصوى. وقالت مايكروسوفت إنه من بين 26 ، تم بالفعل استغلال علة تصعيد الامتياز في البرية. يعتبر الخلل الذي تم الكشف عنه في Black Hat أيضًا عيبًا في تصعيد الامتياز وقد يسمح للمهاجم بتجاوز صندوق الحماية للتطبيق.

وقال مارك ميفريت: "هذه المجموعة المستمرة من نقاط الضعف الحرجة في برنامج Internet Explorer هي تذكرة أخرى بأهمية تنفيذ أقل الامتيازات للتأكد من أنه إذا تم استغلال أحد المستخدمين مع إحدى هذه الثغرات الأمنية ، فلن يتم منح المهاجم ببساطة حقوق المسؤول". CTO من BeyondTrust.

وقال روس باريت ، المدير الأول لهندسة الأمن في رابيد 7 ، إنه من المهم أيضًا أن نتذكر أن العديد من هذه المشكلات من المحتمل أن تكون موجودة في برنامج Internet Explorer على نظام التشغيل Windows XP ، وكان من الممكن تصحيحها ، لو استمرت Microsoft في دعم نظام التشغيل القديم.

لا يزال الناس يستخدمون Windows Media Center؟

أدى التحديث الهام الثاني لهذا الشهر إلى إصلاح عيب واحد في Windows Media Center ، ولكنه يؤثر فقط على إصدارات Professional / Ultimate / Enterprise لنظامي التشغيل Windows 7 و 8 / 8.1 و "Media Center TV Pack" لنظام التشغيل Windows Vista. يتطلب الاستغلال الناجح من المستخدم فتح ملف Microsoft Office معد خصيصًا يستدعي موارد Windows Media Center ، وينتج عن تنفيذ التعليمات البرمجية عن بُعد. سيحصل المهاجم على نفس الامتيازات التي يتمتع بها المستخدم.

وقال باريت: "هذا ليس جهاز تحكم عن بعد حقيقي ، ولكنه هجوم آخر حيث يجب إرغام المستخدم على فتح ملف ضار".

مشاكل في SQL Server

يعمل تصحيح SQL Server على إصلاح مشكلة قد تؤدي إلى رفض الخدمة في جميع إصدارات الدعم ، إذا تم استغلالها. وقال باريت إن رفع مستوى الامتياز لا يُعد أمرًا بالغ الأهمية لأنه يتطلب درجة من المصادقة لاستغلاله "، لكن بالنظر إلى احتمال حدوث ذلك في أي عدد من الظروف ، سيكون هذا بلا شك مشكلة مهمة للمسؤولين لمعالجتها"..

وقال ميفريت "يمكن استغلال عيب البرمجة النصية عبر المواقع في تصحيح SQL Server" لاتخاذ أي إجراء يمكن أن يتخذه المستخدم على موقع نيابة عن المستخدم المستهدف ". يمكن أن يمنع عامل تصفية XSS على إصدارات Internet Explorer من 8 إلى 11 هذا الهجوم ، لذلك يجب على المستخدمين تمكين المرشح على كل من الإنترنت وكذلك مناطق إنترانت.

الوقت لإزالة حقوق المسؤول

تم إصلاح النشرات السبعة المتبقية في تقنيات Microsoft الأخرى المختلفة ، بما في ذلك برامج تشغيل وضع kernel و.NET Framework و OneNote و Windows Installer و SharePoint. معظمهم من ارتفاع عيوب الامتياز.

وقال كريس جويتل ، مدير المنتج في شافليك ، إن التخفيف من ثغرات الامتياز يمكن تخفيفه عن طريق تخفيض مستوى امتياز المستخدم الذي قام بتسجيل الدخول إلى أدنى مستوى امتياز ممكن. وقال جويتل: "تكافح العديد من مؤسسات تكنولوجيا المعلومات لتقليص الامتيازات للمستخدم مع السماح لها بالعمل بفعالية" ، لكن تحديثات هذا الشهر توضح سبب قيام المسؤولين بإغلاق الامتيازات حيثما أمكن ذلك.