نگاهی دوباره به نقطه ضعف Office 2003
سه شنبه هفته گذشته 21 خرداد، شرکت مایکروسافت اصلاحیه های امنیتی ماهانه خود را منتشر کرد که در بین آنها یک اصلاحیه با درجه اهمیت “مهم” برای نرم افزار Office 2003 بود. این اصلاحیه نمونه خوبی است که نشان می دهد مدیران شبکه نباید چشم و گوش بسته، فقط دنباله رو توصیه های مایکروسافت باشند. بلکه باید شرایط محیطی و موقعیت شبکه خود را نیز در تصمیمات اجرایی در نظر داشته باشند.
شرکت مایکروسافت اصلاحیه شماره MS13-051 را که برای رفع یک نقطه ضعف در نرم افزار Office 2003 ارائه کرده، فقط “مهم” دانسته است. در درجه بندی اصلاحیه های مایکروسافت، درجه “مهم” بعد از درجه “حیاتی”، در جایگاه دوم قرار می گیرد.
با وجود اینکه این نقطه ضعف تابحال ناشناخته بوده، ولی بطور واقعی مورد سوء استفاده قرار گرفته است. شرکت مایکروسافت معتقد است که برای سوء استفاده از این نقطه ضعف نیاز به دخالت مکرر کاربر است و لذا سوء استفاده موفق از آن دشوار می باشد. همچنین طبق اعلام مایکروسافت، گزارش های رسیده درباره سوء استفاده از این نقطه ضعف Office 2003 محدود به آسیای جنوبی می شود.
شاید از نظر کارشناسان مایکروسافت، باز کردن یک فایل پیوست ایمیل به معنی دخالت زیاد کاربر باشد، ولی خوب می دانیم که کاربران ما به چه آسانی شیفته سوژه های اجتماعی شده، فریب خورده و فایلهای ناشناس را در یک چشم به هم زدن باز می کنند.
و شاید کارشناسان مایکروسافت، گزارش های سوء استفاده از این نقاط ضعف را که از برخی کشورهای قاره آسیا دریافت می کنند، محدود و دور دست بدانند. ولی ما که در قاره آسیا و همجوار با این کشورها هستیم، به آسانی می توانیم درگیر شویم و حملات نفوذی با استفاده از این نقاط ضعف Office به شبکه های سازمانی ما نیز سرایت کنند.
و شاید بیشتر از یکسال از عمر نسخه 2003 نرم افزار Office باقی نمانده باشد و در آمریکا و اروپا در حال برچیده شدن و یا ارتقاء به نسخه های جدیدتر باشد. ولی می دانیم که نسخه های Office که ما از آنها استفاده می کنیم، بیشتر 2003 هستند.
جدا از توصیه ها و دلایل شرکت مایکروسافت برای ارزش گذاری یک نقطه ضعف و اصلاحیه مربوط به آن، باید شرایط محیطی نیز مدنظر مدیران شبکه باشد. هنگامیکه در کشور ما خبرها و شایعاتی درباره فعالیت بدافزار ناشناخته ای که از طریق Office منتشر می شود، به گوش می رسد، دیگر نباید کوتاهی و تاخیر کرد. نباید شبکه سازمان را به شانس و توصیه های عمومی مایکروسافت سپرد. باید فوراً دست بکار شد و در اولین فرصت اصلاحیه مایکروسافت برای Office 2003 را نصب کرد. حالا می خواهد اصلاحیه “مهم” باشد یا “حیاتی” !