اصلاحیه های امنیتی مایکروسافت منتشر شد (August 2013)

روز سه شنبه 22 مرداد ماه، طبق برنامه ماهانه شرکت مایکروسافت، اصلاحیه های امنیتی جدید این شرکت برای ماه میلادی آگوست منتشر گردید.

این ماه هشت اصلاحیه امنیتی برای اصلاح 19 نقطه ضعف مختلف در محصولات مایکروسافت منتشر شده است. سه اصلاحیه دارای درجه اهمیت “حیاتی” (Critical) و پنج اصلاحیه دارای درجه اهمیت “مهم” (Important) هستند.

اصلاحیه های این ماه برای مرورگر Internet Explorer (تمام نسخه ها)، نرم افزار Exchange Server (نسخه های 2007، 2010 و 2013) و سیستم عامل Windows (نسخه های مختلف) می باشد.

طبق معمول، اصلاحیه مرورگر IE (شماره MS13-059) دارای درجه اهمیت “حیاتی” است و نصب آن در اسرع وقت به همه مدیران شبکه و کاربران توصیه می شود. از 19 نقطه ضعفی که این ماه توسط مایکروسافت اصلاح شده، 11 نقطه ضعف فقط مربوط به مرورگر IE است. همین نکته باید اهمیت به روز رسانی این مرورگر را نشان دهد. اصلاحیه MS13-059 برای تمام نسخه های قدیمی و جدید مرورگر IE لازم است.

اصلاحیه حیاتی دوم که برای سازمان ها و شرکت ها می تواند اهمیت داشته باشد، اصلاحیه امنیتی MS13-61 است که برای نرم افزار Exchange Server (نسخه تحت وب) منتشر شده است.

این اصلاحیه سه نقطه ضعف را در بخش Inside In این نرم افزار ترمیم و برطرف می کند. بخش Inside In امکان مشاهده فایل های پیوست (attachment) ایمیل ها را در محیط وب از طریق قابلیت Outlook Web Access فراهم می آورد.

فناوری Inside In متعلق به شرکت Oracle است و مسئولیت به روز رسانی و اصلاح آن نیز بر عهده این شرکت می باشد. فناوری Inside In به دفعات ترمیم شده و آخرین دفعه نیز ماه گذشته اصلاح شد. متاسفانه اصلاحیه شرکت Oracle یک هفته بعد از اصلاحیه های ماهانه مایکروسافت در ماه میلادی گذشته منتشر شد و در نتیجه این ماه، اولین فرصت مایکروسافت برای ترمیم نقاط ضعف Inside In در محصولات خود بود.

سرور Excliange که عمل پردازش فایل پیوست و ساخت صفحه وب را برای نمایش بر عهده دارد، می تواند از طریق نقاط ضعف Inside In مورد حمله و نفوذ قرار گیرد و سرور به کنترل فرد نفوذگر در آید.

اصلاحیه حیاتی سوم این ماه، اصلاحیه شماره MS13-060 است که فقط برای سیستم های عامل قدیمی Win XP و Windows Server 2003 است. این اصلاحیه یک نقطه ضعف را در بخش پردازش Open Type Font برطرف می کند. شاید این آخرین اصلاحیه امنیتی مایکروسافت برای سیستم عامل Win XP باشد که در بهار سال آینده (1393) به پایان عمر خود می رسد و بعد از آن، شرکت مایکروسافت هیچ اصلاحیه امنیتی برای آن منتشر نخواهد کرد.

پنج اصلاحیه مهم این ماه (MS13-062 hgd MS13-066) نیز نقاط ضعف مختلفی را در بخش های گوناگون سیستم عامل Windows اصلاح و ترمیم می کنند.

در بین این پنج اصلاحیه مهم، اصلاحیه شماره MS13-065 خاطرات تلخ گذشته را یک بار دیگر زنده می کند. این اصلاحیه، نقطه ضعفی را در نحوه پردازش بسته های اطلاعاتی (Packet) از نوع ICMP با پودمان جدید IPV6 در سیستم عامل Windows برطرف می نماید. در حقیقت، این نقطه ضعف در نحوه پیاده سازی پودمان ICMP در IPV6 است که بر روی سیستم عامل Windows قابل سوء استفاده می باشد. 

پودمان ICMP همان پودمان Ping است که در دهه 1990 از آن برای حملات “از کاراندازی سرویس” (DoS) استفاده می شد. به این حملات اصطلاحاً Pings Of Death گفته می شد. در این حملات یک درخواست Ping بسیار حجیم (اجباراً به علت محدودیت IPv4) در چند قطعه جداگانه ارسال می شد تا سرور دریافت کننده که سعی در سرهم کردن قطعات و ساخت بسته یکپارچه اطلاعاتی را داشت، دچار مشکل “سر ریز حافظه” (Buffer Over-Flow) شده و از کار بیفتد.

جزئیات بیشتر و اطلاعات فنی درباره اصلاحیه های امنیتی مایکروسافت برای ماه میلادی آگوست را می توانید بر روی سایت شرکت مایکروسافت مطالعه کنید.