فيديو: سكس نار Video (سبتمبر 2024)
أصدرت Microsoft سبع نشرات إصلاح 34 أخطاء فريدة في.NET Framework و Windows kernel و Internet Explorer كجزء من تصحيح الثلاثاء يوليو. هناك أيضًا سياسة جديدة لمدة 180 يومًا لسوق Microsoft فيما يتعلق بالتطبيقات التي تحتوي على أخطاء أمنية.
من بين النشرات السبع ، تم تصنيف ستة منها على أنها حرجة ، وتم تصنيف واحدة مهمة ، وفقًا لما قالته Microsoft في تقريرها يوم الثلاثاء الصادر يوم الثلاثاء. أوصت Microsoft بتثبيت نشرة IE (MS13-055) أولاً ، متبوعة بأحد النشرات الخاصة ببرامج تشغيل وضع kernel في Windows (MS13-053). كانت نشرات TrueType و Windows المتبقية في المجموعة ذات الأولوية التالية ، تليها التصحيح "المهم" الوحيد.
وقال روس باريت ، المدير الأول لهندسة الأمن في Rapid7: "يتأثر كل شيء في عالم مايكروسوفت الأساسي بواحد أو أكثر من هذه ؛ كل نظام تشغيل مدعوم ، كل إصدار من MS Office ، و Lync ، و Silverlight ، و Visual Studio و.NET".
لا تتأثر Windows 8.1 Preview و IE 11 بأي من هذه النشرات.
القبيح ، الخطوط القبيحة
حددت ثلاث نشرات منفصلة (MS13-052 و MS13-053 و MS13-054) مشكلة عدم حصانة خط تروتايب في.NET. وقال مارك Maiffret ، CTO من BeyondTrust ، إن خطأ خط تروتايب يشبه الخطأ الذي تم استغلاله بواسطة Stuxnet و Duqu ، باستثناء أنه موجود في.NET وليس في Windows kernel.
MS13-054 إصلاح مشكلة عدم حصانة تروتايب في GDI + ، مكون في Windows kernel. يؤثر الخلل على العديد من المنتجات ، بما في ذلك كل إصدار معتمد من Windows و Office 2003/2007/2010 و Visual Studio.NET 2003 و Lync 2010/2013. توقع Maiffret أن يتم استغلال هذا الخلل بواسطة المهاجمين في المستقبل القريب لأن العديد من المنتجات تستخدم GDI +.
وقال تومي تشين ، مهندس الدعم الفني في CORE Security: "MS13-053 هو الأسوأ في المجموعة" ، مضيفًا "إنه تنفيذ التعليمات البرمجية عن بُعد وتصعيد الامتياز في كل واحدة." يمكن للمهاجمين إجراء هندسة اجتماعية للضحايا المحتملين لعرض ملف معد بمحتوى تروتايب ضار. إذا نجحت المهاجم في الوصول إلى النظام المتأثر ، قال تشين.
تم إصلاح ثغرة اليوم صفر في نواة Windows التي اكتشفها الباحث الأمني Tavis Ormandy أيضًا في هذه النشرة. النظر في مآثر هذه الثغرة الأمنية مدرجة بالفعل في الأطر العامة مثل Metasploit ، وهذا ينبغي أن يكون أولوية عالية
متصفح الانترنت
تناول التحديث الهائل لبرنامج Internet Explorer 17 عيوبًا ، منها 16 ثغرات في تلف الذاكرة وواحدة من أخطاء البرمجة النصية عبر المواقع. يمكن استخدام عيوب تلف الذاكرة في الهجمات التي تتم من قِبل المهاجمين حيث يقوم المهاجمون بإعداد صفحات ويب ضارة واستخدام أساليب الهندسة الاجتماعية لجذب المستخدمين إلى الصفحات الضارة. وأشار ميفريت إلى وجود الكثير من أخطاء فساد الذاكرة في برنامج Internet Explorer خلال الأيام القليلة الماضية لـ Patch الثلاثاء ، مضيفًا "من الضروري أن يتم طرح هذا التصحيح في أسرع وقت ممكن."
تغيير سياسة سوق Microsoft
أعلنت Microsoft أيضًا عن تغيير في السياسة يتعلق بسوق Microsoft. وفقًا للسياسة الجديدة ، سيتم منح أي تطبيق في أي من متاجر التطبيقات الأربعة التي تديرها Microsoft (متجر Windows و Windows Phone Store و Office Store و Azure Marketplace) 180 يومًا لحل مشكلات الأمان. ينطبق الخط الزمني على الثغرات الأمنية التي تم تصنيفها حرجة أو مهمة ، ولا تتعرض للهجوم.
وقالت مايكروسوفت إنه إذا لم يتم تصحيحها خلال هذا الإطار الزمني ، فسيتم إزالة التطبيق من المتجر. تنطبق السياسة على التطبيقات من كل من مطوري الطرف الثالث وكذلك Microsoft.
وقال كريج يونج ، الباحث الأمني في تريبواير: "تتخذ Microsoft خطوة كبيرة نحو تقليل التطبيقات الضعيفة في متاجر التطبيقات المختلفة".
ومع ذلك ، تجدر الإشارة إلى أن 180 يومًا هي فترة طويلة ، مما يجعل من غير المحتمل أن تنتهي Microsoft من سحب تطبيق. من غير المحتمل أن يقضي أحد المطورين أكثر من ستة أشهر في إصلاح ثغرة أمنية حرجة ، وإذا استغرق التحديث وقتًا أطول من المتوقع ، فإن Microsoft على استعداد لتقديم استثناءات.
وبالنظر إلى ذلك ، فإن السياسة الجديدة تبدو وكأنها وسيلة لشركة Microsoft لتبدو قوية دون التأثير سلبًا على المطورين.
أكثر في المستقبل
سيكون هذا شهرًا حافلًا للمسؤولين. أصدرت Adobe تحديثاتها الخاصة ، وستصدر Oracle تحديثها الفصلي لجميع برامجها باستثناء Java الأسبوع المقبل.
