بهروزرساني مايكروسافت براي آسيبپذيري مهم ويندوز و ويژوال استوديو
دو نقص متخصص جديد از نوع RCE كه به مهاجمان اجازهي اجراي كدها از راهدور (Remote Code Execution) ميدهند، در جزوه رايگانخانهي كدكهاي ويندوز (Windows Codecs Library) و ويرايشگر متني ويژوال استوديو كد مايكروسافت (Visual Studio Code) كشف شدند و مايكروسافت را وادار به ارائهي وصلهي امنيتي اضطراري كردند.
مايكروسافت روز گذشته دو بهروزرساني امنيتي خارج از نوبت بهمنظور رفع آسيبپذيريهاي موجود در جزوه رايگانخانهي كدكهاي ويندوز و اپليكيشن ويژوال استوديو كد منتشر كرد. دو بهروزرساني با فاصلهي اندكي بعد از انتشار وصلهي امنيتي ماهانهي مايكروسافت در هفتهي گذشته منتشر شد. وصلهي امنيتي مايكروسافت براي اين ماه ۸۷ آسيبپذيري را مرتفع ميكرد؛ اما اين دو نقص متخصص را شامل نميشد.
آسيبپذيري جزوه رايگانخانهي كدكهاي ويندوز با شناسهي CVE-2020-17022 معرفي شده است. مايكروسافت ميگويد مهاجمان ازطريق اين آسيبپذيري توانايي لازم براي ايجاد ايميجهاي آلوده را دارند تا زمانيكه ازطريق يك اپليكيشن روي ويندوز اجرا شوند، كدهاي مد انديشه متخصصين خود را روي سيستمعامل ويندوز بهروزنشده، اجرا كنند. اين آسيبپذيري ظاهرا در تمام نسخههاي ويندوز 10 شناسايي شده است. مايكروسافت اعلام كرد با توجه به اهميت بالاي اين نقص متخصص، بهروزرساني مخصوص Library بهصورت خودكار و ازطريق Microsoft Store روي سيستمهاي متخصصان نصب خواهد شد.
خبر خوش دربارهي آسيبپذيري اين است كه فقط متخصصاني كه كدكهاي ويدئويي اختياري HEVC يا كدگذاري ويديويي پربازده (High Efficiency Video Coding) را از مايكروسافت استور نصب كردند، در معرض خطر حمله قرار دارند.
كدكهاي HEVC بهصورت آفلاين دردسترس نيستند و فقط ازطريق مايكروسافت استور ميتوان آنها را نصب كرد. جزوه رايگانخانهي مدانديشه متخصصين روي ويندوز سرور همراهي نميشود؛ بنابراين در اين باره براي متخصصان اين پلتفرم نگراني وجود ندارد.
كاربران براي اطمينان حاصل كردن از اينكه از كدكهاي آسيبپذير HEVC استفاده نميكنند، ميتوانند وارد بخش Settings, Apps & Features شوند و با انتخاب گزينهي HEVC, Advanced Optoins نسخهي نصبشده را مطالعه كنند. نسخههاي ايمن اين كدك شامل 1.0.32762.0 و 1.0.32763.0 و نسخههاي بعدي ميشوند.
آسيبپذيري مربوط به ويرايشگر متني ويژوال استوديو كد با شناسهي CVE-2020-17023 معرفي شده است. بنابر گفتهي مايكروسافت، مهاجمان قادر خواهند بود با استفاده از اين آسيبپذيري فايلهاي package.json ايجاد كنند كه در اپليكيشن ويژوال استوديو كد بارگذاري شود و براي آنها امكان اجراي كدهاي مخرب را فراهم كند.
طبق مجوزهايي كه متخصص به نرمافزارهاي مختلف داده است، مهاجم ميتواند كدها را با دسترسيهاي Adminstrator اجرا كند و بهطور كامل روي سيستم قرباني تسلط داشته باشد.
فايلهاي pakage.json غالبا بهوسيلهي جزوه رايگانخانهها و پروژههاي جاوا اسكريپت مورد استفاده قرار ميگيرند. ازآنجاكه جاوا اسكريپت و بهخصوص فناوري Node.js در سمت سرور، از فناوريهاي محبوب بهشمار ميروند، متخصصان زيادي ممكن است در معرض خطر امنيتي قرار داشته باشند. بنابراين به متخصصان ويژوال استوديو كد توصيهي اكيد شده است تا در سريعترين زمان ممكن، بهروزرسانيها را انجام دهند و آخرين نسخه را نصب كنند.
هم انديشي ها