مايكروسوفت تأخذ بها 23 الخلل في الثلاثاء التصحيح أغسطس

بعد ظهر هذا اليوم ، أصدرت Microsoft ثماني نشرات أمنية تتناول 23 نقطة ضعف في عدد من الخدمات بما في ذلك Windows و Internet Explorer و Exchange. من بين هؤلاء ، حمل ثلاثة منهم أعلى تصنيف لـ Critical ، بينما تم تصنيف البقية على أنها مهمة.

بالنسبة للمستخدمين الذين يتطلعون إلى تحديد أولويات الترقيع الخاصة بهم ، توصي Microsoft بالتركيز على MS13-059 و MS13-060. ومع ذلك ، يجب عليك تصحيح كل شيء بمجرد أن تتمكن من القيام بذلك.

هجمات الخط ونقاط الضعف IE

من بين هذين ، يعد Bulletin 059 تحديثًا أمنيًا تراكميًا لبرنامج Internet Explorer ، حيث يغطي 11 ثغرة أمنية تم الكشف عنها بشكل خاص. "قد تسمح أضعف الثغرات بتنفيذ التعليمات البرمجية عن بُعد إذا قام المستخدم بعرض صفحة ويب تم إعدادها خصيصًا باستخدام Internet Explorer" ، يكتب Microsoft. "يمكن للمهاجم الذي نجح في استغلال أخطر هذه الثغرات الأمنية الحصول على حقوق المستخدم نفسها التي يتمتع بها المستخدم الحالي."

يوضح مارك Maiffret ، CTO في BeyondTrust: "لا تسمح مشكلة عدم الحصانة وحدها بتنفيذ التعليمات البرمجية ، ولكن بدلاً من ذلك سيتم دمجها مع ثغرة أمنية أخرى للحصول على تنفيذ التعليمات البرمجية مع حقوق المستخدم."

يُعد تحديث IE ملحوظًا أيضًا بما في ذلك إصلاح مشكلة عدم الحصانة التي يستخدمها VUPEN Security في منافسة 2013 pwn2own. نرى؟ كل هذه المنافسة تؤتي ثمارها.

تتعلق النشرة 060 بوجود ثغرة أمنية في Unicode Script Processor ، مما يسمح للمهاجمين أساسًا باستخدام عرض الخطوط كجهة متجهة للهجوم. لقد رأينا مشكلات مشابهة في تحديث Patch Tuesday الشهر الماضي.

أوضح Qualys CTO Wolfgang Kandek لـ SecurityWatch أن "الخطوط يتم رسمها على مستوى kernel ، لذلك إذا كان يمكنك التأثير بطريقة ما على رسم الخطوط وتجاوزها." وقال كانديك إن هذا من شأنه أن يمنح المهاجم السيطرة على كمبيوتر الضحية.

على الرغم من محدودية الخط Bangali في نظام التشغيل Windows XP ، فإن مشكلة عدم الحصانة هذه مثيرة للقلق بشكل خاص بسبب العديد من السبل المختلفة للهجوم الذي يوفره. وقال أمول ساروات ، مدير مختبرات Qualys Vulnerability Labs "إنها وسيلة هجوم جذابة للغاية". كل ما على المهاجم القيام به هو توجيه الضحية إلى مستند أو بريد إلكتروني أو صفحة ويب ضارة لاستغلال الثغرة الأمنية.

هشاشة التبادل الحرج

تتعلق النشرة الهامة الثالثة بتنفيذ التعليمات البرمجية عن بُعد على خوادم Microsoft Exchange. أخبر Kandek SecurityWatch أن المهاجم يمكنه استغلال هذه الثغرات الثلاث بملف PDF تم إنشاؤه خصيصًا والذي عند مشاهدته - لم يتم تنزيله - سيهاجم خادم بريد الضحية.

في السابق ، تم الكشف عن نقاط الضعف هذه بواسطة Oracle مما يجعل المكون المتأثر. لحسن الحظ ، لم يتم رصد أي تنفيذ حتى الآن في البرية ، ولكن تم حل هذه المشكلات المماثلة مرارًا وتكرارًا في الماضي. يكتب Maiffret أن اثنين من نقاط الضعف "ضمن ميزة WebReady Document View ، والتي رأيناها مصححة عدة مرات خلال العام الماضي (MS12-058 و MS12-080 و MS13-012). تواصل Oracle منح Microsoft و Exchange العين السوداء متسقة ".

يلاحظ Kandek ، "لقد كان من السهل جدًا العثور على ثغرات في مكون البرنامج هذا" وأنه يجب على المستخدمين التفكير في إيقاف تشغيل هذه الميزة بالإضافة إلى تصحيح البرنامج. سيؤدي ذلك إلى إجبار المستخدمين على تنزيل مرفقات البريد لمشاهدتها ، وهو ما قد يكون ثمنه بسيطًا مقابل الأمان

هناك بعض الأشياء الجيدة الأخرى في قائمة التصحيحات لهذا الشهر ، بما في ذلك مشكلة عدم حصانة IPv6 ، وبعض الامتيازات وحرمان الخدمة ونقاط ضعف الكشف عن المعلومات. بينما يصل الجميع إلى الترقيع ، سنكون مستعدين لجولة الشهر المقبل من سحق الأخطاء.