اصلاحیه های امنیتی مایکروسافت منتشر شد (July 2013)

از شش اصلاحیه امنیتی “حیاتی” که شرکت مایکروسافت برای ماه میلادی جولای منتشر کرده، سه اصلاحیه برای ترمیم نقطه ضعفی در نحوه پردازش فونت توسط سیستم های عامل Windows است.

امروزه نمایش و چاپ فونت ها نیاز به پردازش های پیچیده ای دارند که همین پیچیدگی باعث ایجاد نقاط ضعفی می شوند که نفوذگران می توانند از آنها سوء استفاده کنند.

این ماه، نیمی از اصلاحیه های امنیتی “حیاتی” به شماره های MS13-052، MS13-053 و MS13-054 برای ترمیم یک نقطه ضعف در نحوه پردازش فونت های از نوع TrueType هستند.

با سوء استفاده از این نقاط ضعف، نفوذگر می تواند با تغییر برخی میزان ها در مشخصات فونت، فراتر از حافظه تخصیص یافته برای فونت را اشغال کند و به حافظه های اختصاص یافته به دیگر عملیات اجرایی، دست اندازی نماید. دستورات پردازش و مشخصات فونت می تواند از طریق یک سایت به مرورگر و یا از طریق یک فایل به سیستم عامل Windows داده شود.

محل سوء استفاده از این نقطه ضعف مهم است و می تواند عواقب جدی به همراه داشته باشد. به عنوان نمونه، سیستم عامل Windows، کاراکترها را با مجوز System User بر روی صفحه نمایشگر نمایش می دهد. مجوز کاربر سیستم اختیارات بیشتری نسبت به کاربر عادی دارد.

شرکت مایکروسافت برای ماه میلادی جولای، هفت اصلاحیه امنیتی صادر کرده که 34 نقطه ضعف را در محصولات مختلف این شرکت، از جمله مرورگر IE، سیستم عامل Windows، فناوری Net Framework.، نرم افزارهای Office، Visual Studio و Lync برطرف می کنند.

از این هفت اصلاحیه امنیتی (شماره های MS13-052 الی MS13-058)، شش اصلاحیه دارای درجه اهمیت “حیاتی” (Critical) و یک اصلاحیه دارای درجه اهمیت “مهم” (Important) هستند.

از 34 نقطه ضعف اصلاح شده توسط این هفت اصلاحیه، 17 نقطه ضعف در مرورگر IE اصلاح شده است. این 17 نقطه ضعف در تمام نسخه های قدیمی و جدید مرورگر IE وجود دارند.

اعمال هر چه سریعتر اصلاحیه های حیاتی این ماه به همه کاربران و مدیران شبکه توصیه می گردد.

جزئیات بیشتر درباره اصلاحیه های امنیتی مایکروسافت برای ماه میلادی جولای را می توان بر روی سایت مایکروسافت مطالعه کرد.

همچنین طبق برنامه ریزی نسبتاً جدید شرکت Adobe، این شرکت اصلاحیه های ماهانه خود را همزمان با شرکت مایکروسافت منتشر می کند. این ماه نیز شرکت Adobe اصلاحیه ها و نسخه های به روز شده ای برای محصولات Flash Player، Shockwave و Cold Fusion ارائه کرده است.