امنیت

سیستم‌عامل و نرم‌افزار

فناوری اطلاعات

April 27, 2018
12:02 جمعه، 7ام اردیبهشتماه 1397
کد خبر: 90092

۲۰ انتقاد از مایکروسافت به خاطر وصله‌های امنیتی

مایکروسافت اخیرا ۶۵ مورد آسیب‌پذیر را کشف کرده که بیش از یک‌سوم آن‌ها بحرانی و در سراسر محیط سیستم‌عامل، مرورگر و برنامه آفیس گسترش‌یافته است.
 
به گزارش ایسنا، مایکروسافت ماه گذشته، مجموعه‌ای از وصله‌های امنیتی را برای ۶۶ آسیب‌پذیری مهم امنیتی منتشر کرد. یعنی وصله‌هایی را برای محصولاتی نظیر ویندوز، مرورگر IE، Edge، ChakraCore، آفیس و محصولات وب آفیس، Flash Player، Microsoft Malware Protection Engine، ویژوال استودیو و Microsoft Azure IoT SDk ارائه کرد.
 
بخش عمده‌ای از نقص‌های امنیتی موجود در مرورگر IE و Edge مربوط به موتورهای اسکریپت نویسی است که امکان اجرای کد از راه دور را ممکن می کند. همچنین یک نقص مربوط به اجرای از راه دور کد نیز در موتور VBScript کشف شده است که از درجه بحرانی است. این حفره امنیتی از طریق وب‌سایت‌ها یا مستندات بدخواه قابل بهره برداری است. بنابراین در این مورد، دامنه حمله با استفاده از مستندات آلوده آفیس افزایش خواهد یافت.
 
چندین آسیب پذیری بحرانی دیگر در مولفه‌های گرافیکی ویندوز کشف شد که امکان اجرای از راه دور کد را در کتابخانه‌های فونت و مدیریت فونت‌های توکار فراهم می کند. با توجه به اینکه روشهای مختلفی برای مشاهده فونتها وجود دارد؛ از جمله مرور وب، مستندات، پیوست ها، حملات متنوعی از این طریق انجام خواهد شد، بنابراین نصب این وصله ها باید به سرعت انجام می‌شد.  
 
همچنین بر اساس گزارش سایت افتا، کیبورد وایرلس ۸۵۰ این شرکت دارای یک آسیب پذیری دور زدن ویژگی امنیتی است که برای شبیه سازی کلیدهای کیبورد و ارسال دستورات بدخواه به سیستم‌های هدف، قابل بهره برداری است. مهاجمین نیز می توانند با بهره برداری از این نقص، کلیدهای کیبورد را خوانده و اطلاعات حساس نظیر گذرواژه‌ها را استخراج کنند.
 
این آسیب پذیری امکان استفاده مجدد از یک کلید رمزنگاری AES را برای ارسال کلیدهای ثبت شده به سایر دستگاه های کی‌بورد یا دریافت کلیدهای ثبت شده از سایرین، فراهم می کند. به این صورت که مهاجم باید با قرار گرفتن در محدوده شبکه‌ای دستگاه کیبورد آلوده، کلید رمزنگاری AES را از آن استخراج کند. به‌روزرسانی شرکت adobe نیز شامل وصله مربوط به ۱۹ آسیب پذیری در ۶ محصول است. شش نقص رفع شده در flash player نیز توسط ویندوز حل شده‌اند که سه تای آن‌ها از نوع  بحرانی هستند.  
 
مایکروسافت پیش‌تر، به‌روزرسانی مهمی را برای رفع آسیب پذیری بحرانی در موتور حفاظت از بدافزار خود منتشر کرده بود که مهاجم می توانست با قرار دادن فایل بدخواه در مکان اسکن ابزار، کنترل سیستم را در دست بگیرد. اگرچه هیچکدام از آسیب پذیری‌های وصله شده تاکنون توسط مهاجمان مورد بهره برداری قرار نگرفته‌اند.
 
اما از سوی دیگر طبق ادعای Ivanti Chris Goettl مدیر محصولات امنیتی مایکروسافت، یکی از مهم‌ترین اصلاحات در به‌روزرسانی امنیتی در ماه مارس منتشر شد. CVE-۲۰۱۸-۱۰۳۸ وصله بدی که در ماه ژانویه ارائه‌شده بود را حل کرد؛ این وصله جدید باید برای ویندوز ۷ و ویندوز سرور ۲۰۰۸ R۲ در دستگاه‌های مبتنی بر x۶۴ در "اولویت اول" باشد.
 
او ادعا کرد که نقص‌های بحرانی در سیستم‌عامل، مرورگر و برنامه آفیس در این ماه مدیران را مشغول نگه می‌دارد و توضیح داد: چندین آسیب‌پذیری بحرانی در سیستم‌عامل ویندوز، مرورگر اینترنت اکسپلورر، مرورگر Edge و آفیس در این ماه وجود دارد. درعین‌حال چندین آسیب‌پذیری مهم در هسته، فایروال گرافیکی مایکروسافت، فونت‌های TrueType و تعداد زیادی از آسیب‌پذیری‌های مهم مرورگر حل‌شده است.
 
اما مایکروسافت افشا کرد که یک اشکال مهم در وصله (CVE-۲۰۱۸-۱۰۳۴) SharePoint  وجود دارد که عموماً مطرح اما هنوز مورد سوءاستفاده قرار نگرفته و منتشرنشده است. در حالی که  محقق ارشد امنیت در شرکت Rapid۷ یک وصله غیرمعمول در مورد آسیب‌پذیری صفحه‌کلید بی‌سیم ۸۵۰ مایکروسافت را اعلام کرد و توضیح داد وصله CVE-۲۰۱۸-۸۱۱۷ برای رفع یک آسیب‌پذیری با ویژگی امنیتی است، جایی که مهاجم را قادر به استخراج کلید رمزگذاری با ارسال و / یا خواندن کلیدهای صفحه‌کلید بی‌سیم می‌کند، به‌طور بالقوه در یک صفحه‌کلید بی‌سیم متصل به سیستم متصل امکان خواندن اطلاعات حساس مانند گذرواژه‌ها و یا انتشار دستورات مخرب وجود دارد.
 
بر اساس ادعای او در ماه جاری هیچ‌ چیز غیرمعمولی وجود ندارد. متأسفانه این بدان معنی است که امکان به وجود آمدن آسیب‌پذیری‌ها و ربوده شدن اطلاعات در بدترین نوع یعنی اجرای کدهای مخرب در سرور (RCE) وجود دارد. همچنین در ماه مذکور مایکروسافت محدودیت کلیدی انطباق AV را که برای جلوگیری از بروز BSOD (خطای بحرانی در کامپیوتر) در هنگام نصب به‌روزرسانی Meltdown/Spectre طراحی‌شده بود را حذف کرد. برای مدیران سیستم، همراه با مایکروسافت، مقابله با به‌روزرسانی‌های Adobe نیز به‌طور گسترده وجود دارد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.