مايكروسوفت تعمل على إصلاح ستة ثغرات أمنية في اليوم صفر – كريبس على الأمن

0 minutes, 14 seconds Read

مايكروسوفت أصدر اليوم جولة أخرى من التحديثات الأمنية لـ النوافذ أنظمة التشغيل والبرامج المدعومة ، بما في ذلك إصلاحات ستة أخطاء في يوم الصفر والتي يستغلها المتسللون الضارون بالفعل في الهجمات النشطة.

ويصلح يوم الثلاثاء في يونيو باتش 49 ثغرة أمنية فقط ، أي حوالي نصف العدد الطبيعي للثغرات الأمنية في الآونة الأخيرة. لكن ما ينقص هذا الشهر من حيث الحجم ، يتم تعويضه على وجه السرعة: تحذر Microsoft من أن الأشرار يستغلون نصف دزينة من نقاط الضعف هذه لاقتحام أجهزة الكمبيوتر في الهجمات المستهدفة.

من بين أيام الصفر:

CVE-2021-33742، خطأ في تنفيذ التعليمات البرمجية عن بُعد في مكون Windows HTML.
CVE-2021-31955، خطأ في الكشف عن المعلومات في Windows kernel
CVE-2021-31956، ارتفاع في امتياز الخلل في نظام التشغيل Windows NTFS
CVE-2021-33739، وهو ارتفاع في عيب الامتياز في مدير نوافذ Microsoft Desktop
CVE-2021-31201، وهو ارتفاع في عيب الامتياز في موفر التشفير المحسّن من Microsoft
CVE-2021-31199، وهو ارتفاع في عيب الامتياز في موفر التشفير المحسّن من Microsoft

كيفن برين، مدير أبحاث التهديد السيبراني في مختبرات غامرة، فإن ارتفاع عيوب الامتيازات هذه له نفس قيمة أخطاء تنفيذ التعليمات البرمجية عن بُعد: بمجرد أن يكتسب المهاجم موطئ قدم ، يمكنه التحرك جانبيًا عبر الشبكة واكتشاف طرق أخرى للتبديل إلى الوصول إلى مستوى النظام أو المجال.

قال برين: “يمكن أن يكون هذا ضارًا للغاية في هجمات برامج الفدية ، حيث يمكن أن تسمح الامتيازات المرتفعة للمهاجمين بإغلاق أو تدمير النسخ الاحتياطية وأدوات الأمان الأخرى”. “تعني علامة” اكتشاف الاستغلال “أن المهاجمين يستخدمونها بنشاط ، لذا فهذه بالنسبة لي أهم المعلومات التي نحتاجها لتحديد أولويات الإصلاحات. “

قامت Microsoft أيضًا بإصلاح خمسة أخطاء حرجة – وهي عيوب يمكن استغلالها عن بُعد للسيطرة على كمبيوتر Windows المستهدف دون أي مساعدة من المستخدمين. CVE-2021-31959 يؤثر على كل ويندوز 7 عبر نظام التشغيل Windows 10 و الخادم الإصدارات 2008و 2012و 2016 و 2019.

نقطة تقاسم حصل أيضًا على تحديث مهم في CVE-2021-31963؛ تقول Microsoft أنه من غير المرجح أن يتم استغلالها ، لكن نقاط الضعف الحرجة في Sharepoint هي هدف رئيسي لمجرمي برامج الفدية.

ومن المثير للاهتمام ، أن اثنتين من ثغرات يوم الصفر في نظام التشغيل Windows – CVE-2021-31201 و CVE-2021-31199 – مرتبطة بالتصحيح أدوبي صدر مؤخرا ل CVE-2021-28550، عيب فيه أدوبي أكروبات و قارئ التي يتم استغلالها أيضًا بشكل نشط.

“يُنظر إلى المهاجمين على أنهم يستغلون هذه الثغرات الأمنية من خلال إرسال ملفات PDF مُعدّة خصيصًا للضحايا ، وغالبًا ما يتم إرفاقها برسالة بريد إلكتروني للتصيد الاحتيالي ، بحيث يتمكن المهاجم عند فتحها على جهاز الضحية من الحصول على تنفيذ تعليمات برمجية عشوائية” ، كريستوف هاس، مدير أمن المعلومات والبحوث في أوتوموكس. “لا يوجد حل بديل لهذه الثغرات الأمنية ، يوصى بشدة بتطبيق التصحيحات في أسرع وقت ممكن. “

بالإضافة إلى تحديث Acrobat و Reader ، أصلحت Adobe عيوبًا في العديد من المنتجات الأخرى اليوم ، بما في ذلك Adobe Connect ، محل تصوير، و سحابة الإبداعية. القائمة الكاملة هي هنا، مع روابط للتحديثات.

إخلاء المسؤولية المعتاد:

قبل التحديث باستخدام حزمة التصحيح لهذا الشهر ، تأكد من عمل نسخة احتياطية للنظام و / أو الملفات المهمة. ليس من غير المألوف أن تقوم تحديثات Windows بسقي النظام أو منعه من البدء بشكل صحيح ، بل إن بعض التحديثات معروفة بمسح الملفات أو إتلافها.

لذا اعمل لنفسك معروفًا وادخر قبل ان تثبيت البقع. حتى أن Windows 10 لديه ملفات بعض الأدوات المدمجة لمساعدتك في القيام بذلك ، إما عن طريق ملف / مجلد أو عن طريق عمل نسخة كاملة قابلة للتمهيد من محرك الأقراص الثابتة دفعة واحدة.

وإذا كنت تريد التأكد من تكوين Windows لإيقاف التحديث مؤقتًا حتى تتمكن من نسخ ملفاتك و / أو نظامك احتياطيًا قبل أن يقرر نظام التشغيل إعادة تشغيل الإصلاحات وتثبيتها وفقًا لجدولها الخاص. ، استشر هذا الدليل.

كما هو الحال دائمًا ، إذا كانت لديك أي مشكلات أو مشكلات في تثبيت أي من هذه الإصلاحات هذا الشهر ، ففكر في ترك تعليق حول هذا الموضوع أدناه ؛ من المحتمل أن القراء الآخرين مروا بنفس الشيء ويمكنهم تقديم بعض النصائح المفيدة.

للحصول على نظرة عامة مرئية سريعة لكل تحديث تم إصداره اليوم ومستوى خطورته ، تحقق من هذا التصحيح الثلاثاء آخر ال مركز عاصفة الإنترنت SANS.

author

Akeem Ala

"Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert."

Similar Posts

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *