اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی آوریل

به گزارش شرکت مهندسی شبکه گستر، سه شنبه، 22 فروردین ماه، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آوریل منتشر کرد.

از مهمترین نکات قابل توجه در خصوص اصلاحیه‌های عرضه شده در این ماه، جایگزین شدن قالب شناسه ###-MSYY – که در آن YY معرف سال عرضه و ### نشان‌دهنده شماره اصلاحیه است – به قالبی جدید است.

مایکروسافت از سال 1998 از این نوع قالب‌بندی شناسه اصلاحیه که به Security Bulletin موسوم شده بود استفاده می‌کرد. در قالب مذکور، آسیب‌پذیری‌ها و محصولات مرتبط با یکدیگر ادغام شده و به‌صورت یک شناسه قابل ارجاع بودند.

اما از 22 فروردین ماه، با هدف فراهم نمودن امکان جستجوی هر آسیب‌پذیری به ازای هر محصول، این قالب به #######KB تغییر داده شده است.

نکته قابل توجه دیگر، عرضه آخرین اصلاحیه‌های امنیتی برای سیستم عامل Vista است. از تاریخ مذکور، ارائه هر گونه پشتیبانی برای این سیستم عامل از جمله عرضه اصلاحیه‌های امنیتی متوقف شده است.

اصلاحیه‌های عرضه شده در ماه آوریل در مجموع آسیب‌پذیری‌هایی را در نرم‌افزارهای زیر ترمیم می‌کنند:

• Internet Explorer
• Microsoft Edge
• Microsoft Windows
• Microsoft Office and Microsoft Office Services and Web Apps
• Visual Studio for Mac
• .NET Framework
• Silverlight
• Adobe Flash Player

اصلی‌ترین ضعف‌های امنیتی ترمیم شده با اصلاحیه‌های این ماه حاوی حداقل یکی از آسیب‌پذیری‌های زیر هستند:

• اجرای از راه دور کد (Remote Code Execution): مهاجم با بهره‌جویی از چنین ضعفی می‌تواند اقدام به اجرای از راه دور کد بر روی سیستم قربانی کند.
• از کاراندازی سرویس (Denial of Service): سوءاستفاده از این نوع آسیب‌پذیری‌ها، مهاجم را قادر به کند کردن و یا حتی توقف خدمات‌دهی دستگاه آسیب‌پذیر می‌کند.
• ترفیع امتیازی (Privilege Escalation): با بهره‌جویی از چنین ضعفی می‌توان سطح دسترسی کاربر بر روی سیستم را به حد اعلاتری ارتقا داد.
• عبور از سد کنترل‌های امنیتی (Security Bypass): همانطور که از نام آن پیداست مهاجم با سوءاستفاده از این نوع ضعف‌ها، کنترل امنیتی نرم‌افزار را دور می‌زند.
• جعل (Spoofing): مهاجم با بهره‌جویی از این نوع آسیب‌پذیری، خود را به‌عنوان یک کاربر مجاز معرفی کرده و با جعل داده‌ها به حق دسترسی‌های تخصیص داده شده به کاربر مجاز دست می‌یابد.

از جمله با اهمیت‌ترین اصلاحیه‌های این ماه می‌توان به اصلاحیه‌ای اشاره کرد در آن ضعفی روز صفر (Zero-day) با شناسه CVE-2017-0199 در نرم‌افزارهای Office و WordPad ترمیم می‌شود. بر اساس بررسی‌های انجام شده توسط محققان McAfee این آسیب‌پذیری از اوایل سال میلادی جاری مورد بهره‌جویی مهاجمان قرار گرفته است.

اطلاعات و جزئیات بیشتر درباره اصلاحیه‌های امنیتی ماه آوریل را می‌توان از اینجا دریافت و مطالعه کرد.