ايتنا - اصلاحیه های مایکروسافت برای ماه اکتبر منتشر شدند

در ساعات پایانی روز سه شنبه ۱۸ مهر ماه به وقت تهران، شرکت مایکروسافت اقدام به اصلاح و ترمیم ۲۰ نقطه ضعف مختلف در محصولات نرم‌افزاری خود، نظیر Office، ShorePoint و SQL نمود.
از جمله دو نقطه ضعف حیاتی که در نرم‌افزار Word شناسایی شده‌اند.

به گزارش ایتنا از روابط عمومی شرکت مهندسی شبکه گستر، شرکت مایکروسافت طبق برنامه ماهانه خود، این ماه با انتشار ۷ اصلاحیه امنیتی (شماره MS۱۲-۰۶۴ الی MS۱۲-۰۷۰) که تنها اصلاحیه شماره MS۱۲-۰۶۴ دارای درچه اهمیت "حیاتی" است، اقدام به اصلاح این ۲۰ نقطه ضعف نموده است.
اصلاحیه حیاتی MS۱۲-۰۶۴ که دو نقطه ضعف را در نرم‌افزار Word برطرف می‌کند، شامل تمام نسخه‌های این نرم‌افزار می‌شود.
نسخه‌های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ همگی دارای این دو نقطه ضعف هستند. علاوه بر این نسخه‌های نرم‌افزار Word، نرم‌افزار Word Viewer که برای نمایش چاپ فایل‌های Word به کار می‌رود و نرم‌افزار رایگان Office Web Apps هم این نقاط ضعف را دارند.

برای سوء استفاده از یکی از این دو نقطه ضعف در نرم‌افزار Word، تنها کافیست که کاربر یک فایل دستکاری شده از نوع RTF یا Rich Text File را در محیط Office باز کند.
پس از آن، امکان دسترسی غیر مجاز به سیستم آسیب‌پذیر و اجرای هرگونه فرمان و دستور بر روی آن سیستم فراهم می‌شود.

توصیه اکثر کارشناسان امنیتی، نصب و اعمال هر چه سریع‌تر اصلاحیه MS۱۲-۰۶۴ است.
فایل‌های RTF که در این مورد می‌توانند به عنوان ابزاری برای سوءاستفاده از این نقاط ضعف سیستم به کار گرفته شوند، به دلیل کاربرد زیاد آنها، معمولاً مانند فایل‌های PDF توسط امکانات امنیتی سرورهای پست الکترونیکی متوقف و یا مسدود نمی‌شوند. لذا امکان انتشار فایل‌های مخرب از نوع RTF زیاد است.

گر چه شش اصلاحیه دیگر این ماه، همگی فقط دارای درجه اهمیت "مهم" هستند ولی باز هم، هر یک دارای حساسیت و اهمیت خاصی می‌باشند. از جمله می توان به اصلاحیه MS۱۲-۰۶۶ اشاره کرد که یک نقطه ضعف را در بخش HTML Sanitization که وظیفه مقابله با حملات از نوع Cross-Site Scripting را بر عهده دارد، اصلاح و ترمیم می‌کند.

شرکت مایکروسافت در توضیحات اصلاحیه شماره MS۱۲-۰۶۶ به این نکته اشاره می‌کند که این نقطه ضعف یک نقطه ضعف عمومی است که جزئیات آن در دسترس عموم قرار دارد.
این بدین معنی است که این نقطه ضعف مورد سوء استفاده واقعی قرار گرفته است.

اصلاحیه MS۱۲-۰۶۷ نیز ۱۳ نقطه ضعف مختلف را در بخش FAST Search Server در نرم افزارShare Point Server ۲۰۱۰ ترمیم می کند.
البته این نقاط ضعف در برنامه‌ای که متعلق به شرکت Oracle است، وجود دارند و شرکت مایکروسافت امتیاز استفاده از آن را محصولات خود دارد.
چند ماه قبل نیز مایکروسافت به همین دلایل این ۱۳ نقطه ضعف را عیناً در نرم افزار Exchange ترمیم کرد. لذا نصب و اعمال اصلاحیه MS۱۲-۰۶۷ به استفاده کنندگان از نرم افزار SharePoint توصیه می‌گردد.

اصلاحیه‌های دیگر این ماه نیز نقاط ضعفی را در سیستم های عامل مختلف Windows و نرم افزار SQL Server برطرف کرده‌اند.
علاوه بر اصلاحیه‌های ماهانه، اتفاق مهم دیگری رخ داده، ابطال گواهینامه های دیجیتالی است که کلید آنها کوتاه تر از ۱۰۲۴ بیت هستند.
شرکت مایکروسافت حدود ۵ ماه است که درباره این اقدام اطلاعیه و هشدارهای لازم را منتشر کرده است و با بروز رسانی اجباری این ماه، این اقدام عملی خواهد شد.

تصمیم مایکروسافت برای ابطال گواهینامه‌هایی که به دلیل داشتن کلیدهای کوتاه، از درجه امنیتی کمتری هم برخوردار هستند، پس از سوءاستفاده ویروس Flame از مکانیزم بروز رسانی مایکروسافت (Windows Update) برای آلوده کردن کامپیوترهای سالم، گرفته شد.
در آن زمان، مایکروسافت اقدام به ابطال آنی سه گواهینامه دیجیتالی خود کرد.
شرکت مایکروسافت هشدار امنیتی شماره ۲۶۶۱۲۵۴ را به همین منظور منتشر کرده است.