مایکروسافت دو نقص روز صفر را در پچ سه شنبه اکتبر 2022 برطرف می کند


TL;DR: مایکروسافت سری جدیدی از وصله های طراحی شده برای رفع اشکالات ویندوز و سایر محصولات نرم افزاری محبوب را منتشر کرد. مهم‌ترین به‌روزرسانی‌ها چند نقص روز صفر را برطرف می‌کنند، اما دو باگ Exchange کشف شده در هفته‌های اخیر هنوز برای سرورهای ایمیل در سراسر جهان خطرناک هستند.

Patch Tuesday یک اصطلاح غیررسمی است که توسط مایکروسافت از اکتبر 2003 استفاده می شود، اما امروزه به طور گسترده ای به عنوان زمان مناسب ماه برای انتشار به روز رسانی های امنیتی جدید پذیرفته شده است. ویندوز که یکی از بزرگترین پلتفرم‌های نرم‌افزاری در سراسر جهان است، نقش مهمی در به‌روزرسانی‌های برنامه‌ریزی‌شده در وصله سه‌شنبه اکتبر بازی می‌کند.

به روز رسانی های امنیتی اکتبر 2022 منتشر شده توسط مایکروسافت شامل رفع 84 نقص امنیتی موجود در اجزای مختلف ویندوز (از هسته تا درایور CD-ROM)، Microsoft Edge، Azure، خدمات دامنه اکتیو دایرکتوری، کد ویژوال استودیو، سیستم فایل NTFS است. ، TCP/IP، Win32K API و بسیاری از محصولات یا ویژگی های دیگر. سیزده آسیب پذیری به عنوان “بحرانی” طبقه بندی می شوند، زیرا آنها بزرگترین خطر را برای سرورها و سیستم های مصرف کننده ایجاد می کنند.

84 باگ ذکر شده شامل 39 آسیب‌پذیری امتیاز، دو آسیب‌پذیری دور زدن ویژگی امنیتی، 20 آسیب‌پذیری اجرای کد از راه دور، 11 آسیب‌پذیری افشای اطلاعات، هشت آسیب‌پذیری Denial of Service و چهار آسیب‌پذیری جعل است. ده ها نقص اضافی در مرورگر Edge گنجانده نشده است زیرا قبلاً در 3 اکتبر رفع شده بودند.

وصله سه‌شنبه اکتبر ۲۰۲۲ شامل اصلاحاتی برای دو باگ صفر روز است، نوعی آسیب‌پذیری که قبلاً به صورت عمومی افشا شده است یا به طور فعال در حملات مورد سوء استفاده قرار می‌گیرد. نقص روز صفر که به طور فعال مورد سوء استفاده قرار می‌گیرد، به عنوان آسیب‌پذیری امتیاز سرویس سیستم رویداد COM+ Windows طبقه‌بندی می‌شود (CVE-2022-41033). به گفته مایکروسافت، مهاجمی که «با موفقیت از این آسیب‌پذیری سوءاستفاده کند، می‌تواند امتیازات SYSTEM را به دست آورد» در حالی که دسترسی محلی به سیستم هدف داشته باشد.

باگ فاش شده عمومی، آسیب‌پذیری افشای اطلاعات آفیس مایکروسافت (CVE-2022-41043) است و مهاجمان می‌توانند از آن برای افشای توکن‌های کاربر یا «سایر اطلاعات بالقوه حساس» استفاده کنند. به گفته مایکروسافت، نقص CVE-2022-41033 ظاهراً توسط یک محقق “ناشناس” کشف شده است، در حالی که CVE-2022-41043 توسط محقق امنیتی SpecterOps، کودی توماس پیدا شده است.

متأسفانه برای شرکت‌ها و کاربران حرفه‌ای، پچ سه‌شنبه این ماه شامل رفع مناسبی برای باگ‌های روز صفر در Microsoft Exchange نمی‌شود. شرکت ردموند از سیستم‌عامل‌ها می‌خواهد تا اقدامات کاهشی را که قبلاً در پایان سپتامبر توصیه شده بود اعمال کنند، زیرا این شرکت به وضوح به زمان بیشتری برای ایجاد وصله‌ها نیاز دارد.



منبع