مايكروسافت بلافاصله بعداز انتشار به‌روزرساني ماهانه‌ي خود، دو به‌روزرساني اضطراري ديگر براي آسيب‌پذيري امنيتي در ويندوز و ويژوال استوديو منتشر كرده است.

دو نقص متخصص جديد از نوع RCE كه به مهاجمان اجازه‌ي اجراي كدها از راه‌دور (Remote Code Execution) مي‌دهند، در جزوه رايگانخانه‌ي كدك‌هاي ويندوز (Windows Codecs Library) و ويرايشگر متني ويژوال استوديو كد مايكروسافت (Visual Studio Code) كشف شدند و مايكروسافت را وادار به ارائه‌ي وصله‌ي امنيتي اضطراري كردند.

مايكروسافت روز گذشته دو به‌روزرساني امنيتي خارج از نوبت به‌منظور رفع آسيب‌پذيري‌هاي موجود در جزوه رايگانخانه‌ي كدك‌هاي ويندوز و اپليكيشن ويژوال استوديو كد منتشر كرد. دو به‌روزرساني با فاصله‌ي اندكي بعد از انتشار وصله‌ي امنيتي ماهانه‌ي مايكروسافت در هفته‌ي گذشته منتشر شد. وصله‌ي امنيتي مايكروسافت براي اين ماه ۸۷ آسيب‌پذيري را مرتفع مي‌كرد؛ اما اين دو نقص متخصص را شامل نمي‌شد.

آسيب‌پذيري جزوه رايگانخانه‌ي كدك‌هاي ويندوز با شناسه‌ي CVE-2020-17022 معرفي شده است. مايكروسافت مي‌گويد مهاجمان ازطريق اين آسيب‌پذيري توانايي لازم براي ايجاد ايميج‌هاي آلوده را دارند تا زماني‌كه ازطريق يك اپليكيشن روي ويندوز اجرا شوند، كدهاي مد انديشه متخصصين خود را روي سيستم‌عامل ويندوز به‌روزنشده، اجرا كنند. اين آسيب‌پذيري ظاهرا در تمام نسخه‌هاي ويندوز 10 شناسايي شده است. مايكروسافت اعلام كرد با توجه‌ به اهميت بالاي اين نقص متخصص، به‌روزرساني مخصوص Library به‌صورت خودكار و ازطريق Microsoft Store روي سيستم‌هاي متخصصان نصب خواهد شد.

 خبر خوش درباره‌ي آسيب‌پذيري اين است كه فقط متخصصاني كه كدك‌هاي ويدئويي اختياري HEVC يا كدگذاري ويديويي پربازده (High Efficiency Video Coding) را از مايكروسافت استور نصب كردند، در معرض خطر حمله قرار دارند.

كدك‌هاي HEVC به‌صورت آفلاين دردسترس نيستند و فقط ازطريق مايكروسافت استور مي‌توان آن‌ها را نصب كرد. جزوه رايگانخانه‌ي مدانديشه متخصصين روي ويندوز سرور همراهي نمي‌شود؛ بنابراين در اين باره براي متخصصان اين پلتفرم نگراني وجود ندارد.

كاربران براي اطمينان حاصل ‌كردن از اينكه از كدك‌هاي آسيب‌پذير HEVC استفاده نمي‌كنند، مي‌توانند وارد بخش Settings, Apps & Features شوند و با انتخاب گزينه‌ي HEVC, Advanced Optoins نسخه‌ي نصب‌شده را مطالعه كنند. نسخه‌هاي ايمن اين كدك شامل 1.0.32762.0 و 1.0.32763.0 و نسخه‌هاي بعدي مي‌شوند.

آسيب‌پذيري مربوط به ويرايشگر متني ويژوال استوديو كد با شناسه‌ي CVE-2020-17023 معرفي شده است. بنابر گفته‌ي مايكروسافت، مهاجمان قادر خواهند بود با استفاده از اين آسيب‌پذيري فايل‌هاي package.json ايجاد كنند كه در اپليكيشن ويژوال استوديو كد بارگذاري شود و براي آن‌ها امكان اجراي كدهاي مخرب را فراهم كند.

طبق مجوزهايي كه متخصص به نرم‌افزارهاي مختلف داده است، مهاجم مي‌تواند كدها را با دسترسي‌هاي Adminstrator اجرا كند و به‌طور كامل روي سيستم قرباني تسلط داشته باشد.

فايل‌هاي pakage.json غالبا به‌وسيله‌ي جزوه رايگانخانه‌ها و پروژه‌هاي جاوا اسكريپت مورد استفاده قرار مي‌گيرند. ازآنجاكه جاوا اسكريپت و به‌خصوص فناوري Node.js در سمت سرور، از فناوري‌هاي محبوب به‌شمار مي‌روند، متخصصان زيادي ممكن است در معرض خطر امنيتي قرار داشته باشند. بنابراين به متخصصان ويژوال استوديو كد توصيه‌ي اكيد شده است تا در سريع‌ترين زمان ممكن، به‌روزرساني‌ها را انجام دهند و آخرين نسخه را نصب كنند.


منبع mspoweruser zdnet

از سراسر وب

  انديشه متخصصينات
كاراكتر باقي مانده

بيشتر بخوانيد