نخستین اصلاحیه‌های مایکروسافت در سال 2017

شبکه گستر

8 سال پیش

روز سه شنبه 21 دی ماه، شرکت مایکروسافت اولین اصلاحیه‌های امنیتی ماهانه خود را برای سال 2017 منتشر کرد.

به گزارش شرکت مهندسی شبکه گستر، شرکت مایکروسافت با عرضه 4 اصلاحیه، در مجموع 15 آسیب‌پذیری را در سیستم عامل Windows، نرم‌افزار Office و مرورگر Edge ترمیم کرده است. از این 4 اصلاحیه، 1 اصلاحیه “حیاتی” (Critical) و 3 مورد “بااهمیت” (Important) اعلام شده است. این تعداد اصلاحیه، مجموعه اصلاحیه‌های ماه ژانویه 2017 را جزء یکی از کم تعدادترین مجموعه اصلاحیه‌های ماهانه مایکروسافت قرار داده است.

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند.

اولین اصلاحیه این ماه میلادی با شناسه MS17-001، یک آسیب‌پذیری “بااهمیت” از نوع ترفیع امتیازی (Privilege Escalation) را در مرورگر Edge ترمیم می‌کند. مهاجم قادر است با هدایت کاربر به یک صفحه اینترنتی دستکاری شده با بهره‌جویی از چنین ضعفی سطح دسترسی آن کاربر را به حد اعلاتری ارتقا داده و از طریق آن اقدام به خرابکاری بر روی سیستم آسیب‌پذیر کند.

MS17-002، دومین اصلاحیه این ماه، یک آسیب‌پذیری “بااهمیت” از نوع اجرای از راه دور کد (Remote Code Execution) را در نسخه 2016 نرم‌افزار Office برطرف می‌کند. مهاجم با بهره‌جویی از چنین ضعفی می‌تواند اقدام به اجرای از راه دور کد بر روی سیستم قربانی کند.

MS17-003، به عنوان تنها اصلاحیه “حیاتی” این ماه، نقاط ضعف نرم‌افزار Adobe Flash Player را که در نسخه‌های جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف می‌کند. جزییات آسیب‌پذیری‌های ترمیم شده در این اصلاحیه را می‌توان در اینجا مطالعه کرد.

آخرین اصلاحیه ماه، MS17-004، اصلاحیه‌ای “بااهمیت” است که ضعفی از نوع از کاراندازی سرویس (Denial of Service) را در بخش Local Security Authority Subsystem Service – به اختصار LSASS – سیستم عامل Windows ترمیم و برطرف می‌کند. سوءاستفاده از این ضعف امنیتی منجر به از کاراندازی این بخش بر روی دستگاه آسیب‌پذیر می‌شود.

اطلاعات و جزئیات بیشتر درباره اصلاحیه‌های امنیتی ماه ژانویه را می‌توان از اینجا دریافت و مطالعه کرد.