مايكروسوفت إصلاحات حرجة أي الخلل في الثلاثاء التصحيح التصحيح

يمكن لمسؤولي Windows الذين يعانون من حمى الربيع أن يفرحوا ؛ أصدرت Microsoft نشرتين مهمتين فقط كجزء من إصدار Patch Tuesday.

من بين النشرات التسعة التي صدرت هذا الشهر ، تم تصنيف اثنتان فقط على أنهما حرجان ، مما يعني أنه يمكن للمهاجم التحكم في الجهاز المستهدف عن بُعد. يتم تصنيف جميع العناصر المتبقية على أنها مهمة ، مما يعني أن المهاجم يحتاج عمومًا إلى نوع من الوصول إلى النظام قبل الاستيلاء عليه. وبشكل عام ، عالجت مايكروسوفت 13 نقطة ضعف أمنية هذا الشهر.

يقول بول هنري ، المحلل الأمني ​​لدى Lumension ، إن الأخبار السارة هي أن معظم التأثير على قاعدة الكود القديمة وليس على أحدث إصدارات منتجات Microsoft. وقال "إذا كان نظامك يعمل على أحدث وأكبر إصدارات البرامج - كما يجب أن تفعل دائما ، لأن الأحدث هو الأكثر أمانا في العادة - فيجب أن تتأثر أقل ما يمكن هذا الشهر".

IE كأعلى أولوية

نشرة الأولوية القصوى لهذا الشهر هي التحديث الخاص بـ Internet Explorer (MS13-028) ، والذي يعمل على إصلاح مشكلة الاستخدام بعد الاستخدام في جميع الإصدارات المدعومة من مستعرض الويب من IE 6 إلى IE 10 ، والتي إذا تم استغلالها ، يمكن أن تؤدي إلى التحكم عن بُعد تنفيذ التعليمات البرمجية. تناولت النشرة أيضًا مشكلة تتعلق بالدفاع في العمق والتي تعتمد على المستخدمين الذين لديهم Java 6.0 أو إصدار أقدم مثبتًا.

وحذر هنري قائلاً: "نظرًا لعدد المشكلات التي واجهتها Java مؤخرًا ، نأمل ألا يواصل أحد تشغيل الإصدارات القديمة من Java".

مؤشر الأولوية هو 2 فقط ، مما يشير إلى أن تصحيح الاستغلال ليس بسيطًا ، لذلك لا تتوقع Microsoft رؤية استغلال فعال خلال الثلاثين يومًا التالية ، وفقًا لاستشارة إعلام Microsoft Patch Patch.

وقال مارك Maiffret ، CTO: "سيبحث المهاجمون في كيفية استغلال هاتين الثغرات الأمنية ، حيث يمكن للمهاجمين استهداف إصدارات متعددة من Internet Explorer من خلال استخدام ثغرات أمنية مزدوجة فقط ، لذلك من المهم نشر هذا التصحيح في أسرع وقت ممكن". من وراء.

لم تقم Microsoft حتى الآن بإصلاح ثغرة اليوم التي تم الكشف عنها خلال مسابقة Pwn2Own في مؤتمر CanSecWest في فانكوفر الشهر الماضي.

سطح المكتب البعيد في خطر ، مرة أخرى

وقال هنري إن الأولوية الثانية يجب أن تكون التصحيح لعنصر تحكم ActiveX الخاص ببرنامج Remote Desktop Client (MS13-029) ، والذي يؤثر على جميع إصدارات Windows و "ليس نوع المشكلة التي نراها عادةً في Windows RDP".

يمكن للمهاجمين استغلال مشكلة عدم الحصانة هذه عن طريق خداع الضحايا لزيارة مواقع الويب التي تستضيف عناصر تحكم ActiveX الضارة. لاحظ Maiffret بمجرد وصول الزائر إلى الموقع ، فإن الشفرة ستستغل الثغرة الأمنية لاكتساب القدرة على تنفيذ التعليمات البرمجية التعسفية كما لو كانت هي المستخدم.

وقال ولفجانج كانديك ، مدير قسم التسويق في Qualys ، "بينما يمكن تضمين عناصر تحكم ActiveX في معظم برامج Windows ، فإن الأرجح أن يكون ناقل الهجوم من خلال متصفح ويب".

"مهم" ولكن ليس "حرج"

كما قام خبراء الأمن بإبلاغ بعض النشرات "المهمة" الأخرى باهتمام خاص هذا الشهر. وقال كانديك إن خلل رفض الخدمة في Active Directory (MS13-032) يجب أن يكون "على رأس قائمة منشآت المؤسسات". يمكن للمهاجمين إرسال استعلام LDAP ضار يؤدي إلى مشكلة عدم الحصانة ، والتي قد تستنفد ذاكرة النظام وتتسبب في رفض الخدمة.

يجب أن تتصدر قائمة الامتيازات التي تؤثر على Microsoft InfoPath و Groove Server و SharePoint Foundation and Server و "Office Web Apps 2010" (MS13-035) في القائمة لأنها تعمل على حل مشكلة داخل مكون HTML Sanitization الموجود في هذه وقال روس باريت ، مدير أول هندسة الأمن في Rapid7. إذا تم استغلالها بنجاح ، فسيتمكّن المهاجمون من تنفيذ البرامج النصية غير المسموح بها عادةً وقراءة البيانات المقيدة وتنفيذ الإجراءات غير المصرح بها بامتيازات الضحية.

بينما لم يتم الكشف عن الثغرة الأمنية بشكل علني ، يبدو أن الهجمات المستهدفة تستغلها بالفعل في البرية.

مايكروسوفت ليست أكبر قلق

لفترة طويلة الآن ، لم تكن مايكروسوفت المصدر الرئيسي لصداع تكنولوجيا المعلومات. قامت Adobe بإصلاح ثماني مشكلات في برنامج Flash Player اليوم ، وعلى مسؤولي تقنية المعلومات أن يستعدوا لتحديث Java الجديد ، والمقرر حاليًا في 16 أبريل. من المتوقع أن تعالج Oracle عددًا من نقاط الضعف الحرجة في هذا الإصدار.