انتشار اصلاحیه های جدید مایکروسافت
روز سه شنبه 18 آبان ماه، شرکت مایکروسافت طبق برنامه ماهانه خود، اصلاحیه های امنیتی جدید برای ماه میلادی نوامبر را منتشر کرد. این ماه، فقط سه اصلاحیه بـرای ترمیم 11 نقطه ضعف امنیتی منتشر شده است. فقط یک اصلاحیه دارای درجه اهمیت “حیاتی” است و دو اصلاحیه دیگر، تنها دارای درجه اهمیت “مهم” هستند. اصلاحیه های این ماه دارای شماره های MS10-087 تا MS10-089 می باشند.
اصلاحیه حیاتی MS10-087 پنج نقطه ضعف را در نرم افزار Office اصلاح و ترمیم می کند. این اصلاحیه برای نسخه های XP، 2003، 2007 و 2010 نرم افزار Office است. اصلی ترین نقطه ضعفی که توسط این اصلاحیه ترمیم می شود، مربوط به نحوه پـردازش فـایـل های RTF یا Rich Text Format در نـرم افـزار Outlook کـه بخشی از نـرم افـزار Office است، می شود.
تنها کافی است که یک فایل دستکاری شده و مخرب از نوع RTF در نرم افزار Outlook به نمایش درآید تا امکان سوء استفاده از نقطه ضعف مورد نظر فراهم شود. فـایـل های RTF مانند فایل های Adobe PDF کاربرد زیادی داشته و اغلب ابزارهای امنیتی مانند دیواره آتش، به راحتی اجازه عبور به این نوع فایل ها را می دهند.
اصلاحیه MS10-087 نقطه ضعف DLL Load Hijacking را در نرم افزار Office، نسخه های 2007 و 2010 برطرف می کند. این نقطه ضعف که ناشی از ضعف برنامه نویسی است، امکان جایگزین کردن فایل های مخرب DLL را به جای فایل های سالم و واقعی همنام، فـراهـم مـی کنـد. ایـن اولیـن اقدام شرکت مایکروسافت در تـرمیـم نقطه ضعف فـایـل های DLL است و تاکنون نیز از افشای نام نرم افزارهای آسیب پذیر خود، خودداری کرده است.
اصلاحیه مهم MS10-088 نیز دو نقطه ضعف را در نرم افزار PowerPoint که در بسته های Office XP وOffice 2003 وجود دارد، اصلاح و ترمیم می کند.
اصلاحیه سوم MS10-089 نیز برای ترمیم چهار نقطه ضعف در بخش UAG یا Forefront Unified Access Gateway است. UAG فناوری VPN مایکروسافت است که چند سال قبل با خرید شرکت Whale Communication به سیستم عامل Windows اضافه شده است.
نکته جالب درباره این اصلاحیه، نحوه اتتشار آن است که بر خلاف تمام اصلاحیه های امنیتی مایکروسافت، از طریق سیستم بروز رسانی خودکار Windows Update و یا سرویس WSUS ارائه نمی شـود. بلکه دریافت اصلاحیه MS10-089 باید بصورت دستی از سایت مایکروسافت صورت گیرد. به گفته مایکروسافت، در حال حاضر بروز رسانی بخش UAG از طریق سرویس های بروز رسانی خودکار Windows امکان پذیر نیست.