ترميم آسيب پذيرهاي حياتي و مهم در ويندوز

مركز افتاي رياست جمهوري اعلام كرد: بيش از 90 آسيب پذيري در ويندوز و ديگر محصولات مختلف شركت مايكروسافت ترميم شد. به گزارش روابط عمومي مركز مديريت راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا)، درجه اهميت 9 مورد از آسيب پذيري هاي ترميم شده در نخستين ماه ميلادي 2022 «حياتي» (Critical) و ديگر موارد، «مهم» (Important) اعلام شده است. اين مجموعه اصلاحيه ها، انواع مختلفي از آسيب پذيري ها از قبيل اجراي كد از راه دور، ترفيع امتيازي، افشاي اطلاعات، جعل، منع سرويس و عبور را در محصولات مختلف مايكروسافت ترميم مي كنند. شش مورد از آسيب پذيري هاي ترميم شده اين ماه، از نوع «روز-صفر» هستند، اگر چه موردي در خصوص كد مخرب (اكسپلويت) آن ها گزارش نشده است. مايكروسافت آن دسته از آسيب پذيري هايي را از نوع روز - صفر مي داند كه پيش تر اصلاحيه رسمي براي ترميم آن ها ارائه نشده اما جزئيات آن ها به طور عمومي منتشر شده است و يا مهاجمان در مواقعي از آنها سوءاستفاده كرده اند. كارشناسان مركز مديريت راهبردي افتا، از راهبران امنيتي سيستم هاي Windows مي خواهند كه توجه ويژه اي به ضعف امنيتي با شناسه 2022-21907CVE_ داشته باشند، اين ضعف امنيتي داراي درجه اهميت «حياتي» بوده و مهاجمان بدون احراز هويت مي توانند بسته هاي دست كاري شده را با استفاده از HTTP Protocol Stack (http.sys) به سرور موردنظر براي پردازش بسته ها ارسال كنند. از آنجا كه شركت مايكروسافت اعلام كرده اين آسيب پذيري داراي قابليت هاي كرم (Wormable Capabilities) است، ضروري است تا راهبران امنيتي با اولويت خاص سرورهاي آسيب پذير را وصله كنند. از طريق يكي از آسيب پذيري هايي كه «حياتي» اعلام شده، مهاجمي كه در شبكه نفوذ كرده است، مي تواند از آن براي توسعه آلودگي در شبكه (Lateral Movement) و ماندگاري در شبكه يك سازمان سوء استفاده كند. باتوجه به اين كه نمونه اثبات گر برخي از ضعف هاي امنيتي ماه جاري ميلادي، منتشر شده است، توصيه مي شود كاربران دراسرع وقت به روزرساني وصله ها را انجام دهند. تا كنون براي Office 2019 و همچنين Microsoft Office LTSC2021 هر دو در Mac وصله اي ارائه نشده است، اما اين احتمال وجود دارد كه مايكروسافت اين وصله ها را به زودي در دسترس قرار دهد.