انتشار اصلاحیه‌های امنیتی حیاتی و مهم از سوی مایکروسافت

این به‌روزرسانی‌هلای مهم و حیاتی بر خلاف تمام اصلاحیه‌های امنیتی مایکروسافت، از طریق سیستم به‌روز رسانی خودکار Windows Update و یا سرویس WSUS ارائه نمی‌شود و باید به صورت دستی دریافت و نصب شوند.

1

به گزارش فارنت شرکت مایکروسافت روز سه‌شنبه 18 آبان ماه، طبق برنامه ماهانه خود، اقدام به انتشار اصلاحیه‌های امنیتی جدید برای ماه میلادی نوامبر کرد.

این ماه، فقط 3 اصلاحیه برای ترمیم 11 نقطه ضعف امنیتی منتشر شده است که تنها یک اصلاحیه دارای درجه اهمیت “حیاتی” و دو اصلاحیه دیگر، دارای درجه اهمیت “مهم” هستند. اصلاحیه های این ماه  شماره های MS10-087 تا MS10-089 هستند.

microsoft patch

بنا بر گزارش روابط عمومی شرکت مهندسی شبکه گستر، اصلاحیه حیاتی MS10-087 پنج نقطه ضعف را در نرم‌افزار Office اصلاح و ترمیم می‌کند. این اصلاحیه برای نسخه‌های XP، 2003، 2007 و 2010 نرم‌افزار Office است. اصلی‌ترین نقطه ضعفی که توسط این اصلاحیه ترمیم می‌شود، مربوط به نحوه پردازش فایل های RTF یا Rich Text Format در نرم‌افزار Outlook که بخشی از نرم افزار Office است، می‌شود.

تنها کافی است که یک فایل دستکاری شده و مخرب از نوع RTF در نرم افزار Outlook به نمایش درآید تا امکان سوء‌استفاده از نقطه ضعف مورد نظر فراهم شود. فایل‌های RTF مانند فایل‌های Adobe PDF کاربرد زیادی داشته و اغلب ابزارهای امنیتی مانند دیواره آتش، به راحتی اجازه عبور به این نوع فایل‌ها را می‌دهند.

اصلاحیه MS10-087 نقطه ضعف مشهور DLL Load Hijacking را نیز در نرم افزار Office، نسخه‌های 2007 و 2010 برطرف می‌کند. این نقطه ضعف که ناشی از ضعف برنامه‌نویسی است، امکان جایگزین کردن فایل‌های مخرب DLL را به جای فایل‌های سالم و واقعی همنام، فراهم می‌کند. این اولین قدم شرکت مایکروسافت در ترمیم نقطه ضعف فایل‌های DLL است و تاکنون نیز از افشاء نام نرم‌افزارهای آسیب‌پذیر خود، خودداری کرده است.

اصلاحیه مهم MS10-088 نیز دو نقطه ضعف را در نرم‌افزار  PowerPoint که در بسته‌های Office XP و Office 2003 وجود دارد، اصلاح و ترمیم می‌کند.

اصلاحیه سوم MS10-089 نیز برای ترمیم چهار نقطه ضعف در بخش UAG یا Forefront Unified Access Gateway است. UAG  فناوری VPN مایکروسافت است که چند سال قبل با خرید شرکت Whale Communication به سیستم عامل Windows اضافه شده است.

نکته جالب درباره این اصلاحیه، نحوه اتتشار آن است که بر خلاف تمام اصلاحیه‌های امنیتی مایکروسافت، از طریق سیستم به‌روز رسانی خودکار Windows Update و یا سرویس WSUS ارائه نمی‌شود. دریافت اصلاحیه MS10-089 باید بصورت دستی از سایت مایکروسافت انجام شود و به نظر می‌رسد شرکت مایکروسافت فرصت کافی برای آزمایش و اطمینان از نحوه انتشار خودکار این اصلاحیه نداشته است.

بنا بر اعلام شرکت مایکروسافت، در حال حاضر به‌روز رسانی بخش UAG از طریق سرویس‌های به روز رسانی خودکار Windows امکان‌پذیر نبوده و در آینده این قابلیت به آن اضافه خواهد شد.

پایان مطلب/

شاید بخوای اینا رو هم بخونی:

نوشتن دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.

دیدگاه شما پس از بررسی توسط تحریریه منتشر خواهد شد. در صورتی که در بخش نظرات سوالی پرسیده‌اید اگر ما دانش کافی از پاسخ آن داشتیم حتماً پاسخگوی شما خواهیم بود در غیر این صورت تنها به امید دریافت پاسخ مناسب از دیگران آن را منتشر خواهیم کرد.

1 نظر
  1. ar30 می‌گوید

    حالا ما چی کنیم