nginxweb
April 11th, 2013, 21:49
روز سهشنبه ۲۰ فروردین ماه ۹۲ طبق اعلام قبلی شرکت مایکروسافت، اصلاحیههای امنیتی ماهانه برای ماه میلادی آوریل منتشر شد. این ماه، کاربران و مدیران شبکه میتوانند کمی آسودهتر باشند زیرا مایکروسافت مجموعه سبکتری را منتشر کرده است.
پایگاه اطلاعرسانی پلیس فتا: در مجموع ۹ اصلاحیه امنیتی (از شماره MS13-028 الی MS13-036) ارائه شده که فقط ۲ اصلاحیه دارای درجه اهمیت “حیاتی” (Critical) هستند. این ۹ اصلاحیه ۱۴ نقطه ضعف مختلف را در محصولات گوناگون مایکروسافت برطرف میکنند. از جمله محصولاتی که تحت تاثیر این اصلاحیهها قرار میگیرند، میتوان به سیستم عامل Windows، نرم افزارهای SharePoint و Office و طبق روال همیشگی، به مرورگر Internet Explorer، اشاره کرد.
برخلاف پیش بینی و تصور بسیاری از کارشناسان امنیتی، در اصلاحیههای این ماه، شرکت مایکروسافت هیچ اقدامی برای ترمیم نقاط ضعف مرورگر IE که یکماه قبل در مسابقه هک Pwn2Own مطرح و نحوه سوءاستفاده از آنها نیز به نمایش گذاشته شد، نکرده است. در عوض مسئولان مایکروسافت اعلام کردهاند که بررسیها بر روی این نقاط ضعف همچنان ادامه دارد و تا به حال گزارشی از سوءاستفاده عمومی و واقعی از این نقاط ضعف گزارش نشده است و کاربران فعلاً در معرض تهدید قرار ندارند. برخلاف تاخیر مایکروسافت، سازندگان دو مرورگر Firefox و Chrome به فاصله چند روز بعد از مطرح شدن نقاط ضعف در این مرورگرها در مسابقه Pwn2Own اقدام به ترمیم و به روز رسانی نمودند.
اصلاحیه MS13-028 یکی از دو اصلاحیه حیاتی این ماه است که دو نقطه ضعف را در تمام نسخه های ۶ الی ۱۰ مرورگر IE برطرف میکند. مطابق معمول نصب و اعمال این اصلاحیه در اسرع وقت توصیه میشود.
دومین اصلاحیه حیاتی این ماه MS13-029 است که یک نقطه ضعف را در نرم افزار Microsoft Remote Desktop برطرف میکند. این نقطه ضعف در بخش ActiveX Control قرار دارد و سوءاستفاده موفق از آن، میتواند امکان اجرای فرامین و دستورات غیرمجاز را از راه دور بر روی کامپیوتر آسیب پذیر فراهم آورد. این نقطه ضعف در نسخههای ۶٫۱ و ۷٫۰ وجود دارد و جدیدترین نسخه ۸ فاقد این ضعف میباشد.
در بین ۷ اصلاحیه “مهم” (Important) این ماه نیز، اصلاحیه شماره MS13-032 برای کارشناسان امنیتی جلب توجه میکند. این اصلاحیه یک نقطه ضعف را در Active Directory برطرف میکند. با ارسال یک درخواست (query) دستکاری شده به سرویس LDAP و سوء استفاده از این نقطه ضعف، میتوان تمام منابع پردازنده (CPU) را اشغال کرده و باعث اختلال و توقف سیستم شد. سوءاستفاده از این نقطه ضعف از راه دور امکان پذیر نیست ولی میتوان از یک ایستگاه کاری، سرویس Domain Controller شبکه یک سازمان را از کار انداخت.
دیگر اصلاحیههای مهم این ماه عبارتند از:
MS13-030 نقطه ضعفی را در نرم افزار SharePoint برطرف میکند.
MS13-031 نقطه ضعفی را در هسته مرکزی Kernel سیستم عامل Windows ترمیم میکند.
MS13-033 نقطه ضعفی را در بخش Runtime Subsystem سیستم عامل Windows اصلاح میکند.
MS13-034 برای اصلاح نقاط ضعفی در نرمافزار امنیتی جدید Windows Defender است که به همراه سیستم عامل Windows 8 ارائه میشود.
MS13-035 نقطه ضعفی را در نرمافزار Office در بخش HTML Sanitization ترمیم میکند.
MS13-036 نقطه ضعفی را در سیتم عامل Windows در بخش Kernel Mode Driver برطرف مینماید.
پایگاه اطلاعرسانی پلیس فتا: در مجموع ۹ اصلاحیه امنیتی (از شماره MS13-028 الی MS13-036) ارائه شده که فقط ۲ اصلاحیه دارای درجه اهمیت “حیاتی” (Critical) هستند. این ۹ اصلاحیه ۱۴ نقطه ضعف مختلف را در محصولات گوناگون مایکروسافت برطرف میکنند. از جمله محصولاتی که تحت تاثیر این اصلاحیهها قرار میگیرند، میتوان به سیستم عامل Windows، نرم افزارهای SharePoint و Office و طبق روال همیشگی، به مرورگر Internet Explorer، اشاره کرد.
برخلاف پیش بینی و تصور بسیاری از کارشناسان امنیتی، در اصلاحیههای این ماه، شرکت مایکروسافت هیچ اقدامی برای ترمیم نقاط ضعف مرورگر IE که یکماه قبل در مسابقه هک Pwn2Own مطرح و نحوه سوءاستفاده از آنها نیز به نمایش گذاشته شد، نکرده است. در عوض مسئولان مایکروسافت اعلام کردهاند که بررسیها بر روی این نقاط ضعف همچنان ادامه دارد و تا به حال گزارشی از سوءاستفاده عمومی و واقعی از این نقاط ضعف گزارش نشده است و کاربران فعلاً در معرض تهدید قرار ندارند. برخلاف تاخیر مایکروسافت، سازندگان دو مرورگر Firefox و Chrome به فاصله چند روز بعد از مطرح شدن نقاط ضعف در این مرورگرها در مسابقه Pwn2Own اقدام به ترمیم و به روز رسانی نمودند.
اصلاحیه MS13-028 یکی از دو اصلاحیه حیاتی این ماه است که دو نقطه ضعف را در تمام نسخه های ۶ الی ۱۰ مرورگر IE برطرف میکند. مطابق معمول نصب و اعمال این اصلاحیه در اسرع وقت توصیه میشود.
دومین اصلاحیه حیاتی این ماه MS13-029 است که یک نقطه ضعف را در نرم افزار Microsoft Remote Desktop برطرف میکند. این نقطه ضعف در بخش ActiveX Control قرار دارد و سوءاستفاده موفق از آن، میتواند امکان اجرای فرامین و دستورات غیرمجاز را از راه دور بر روی کامپیوتر آسیب پذیر فراهم آورد. این نقطه ضعف در نسخههای ۶٫۱ و ۷٫۰ وجود دارد و جدیدترین نسخه ۸ فاقد این ضعف میباشد.
در بین ۷ اصلاحیه “مهم” (Important) این ماه نیز، اصلاحیه شماره MS13-032 برای کارشناسان امنیتی جلب توجه میکند. این اصلاحیه یک نقطه ضعف را در Active Directory برطرف میکند. با ارسال یک درخواست (query) دستکاری شده به سرویس LDAP و سوء استفاده از این نقطه ضعف، میتوان تمام منابع پردازنده (CPU) را اشغال کرده و باعث اختلال و توقف سیستم شد. سوءاستفاده از این نقطه ضعف از راه دور امکان پذیر نیست ولی میتوان از یک ایستگاه کاری، سرویس Domain Controller شبکه یک سازمان را از کار انداخت.
دیگر اصلاحیههای مهم این ماه عبارتند از:
MS13-030 نقطه ضعفی را در نرم افزار SharePoint برطرف میکند.
MS13-031 نقطه ضعفی را در هسته مرکزی Kernel سیستم عامل Windows ترمیم میکند.
MS13-033 نقطه ضعفی را در بخش Runtime Subsystem سیستم عامل Windows اصلاح میکند.
MS13-034 برای اصلاح نقاط ضعفی در نرمافزار امنیتی جدید Windows Defender است که به همراه سیستم عامل Windows 8 ارائه میشود.
MS13-035 نقطه ضعفی را در نرمافزار Office در بخش HTML Sanitization ترمیم میکند.
MS13-036 نقطه ضعفی را در سیتم عامل Windows در بخش Kernel Mode Driver برطرف مینماید.