الأخبار التكنولوجية والاستعراضات والنصائح!

مايكروسوفت تطلق تصحيحات الطوارئ لبرنامج Internet Explorer اليوم صفر و Windows عيب المدافع

أصدرت Microsoft زوجًا من تصحيحات الطوارئ ، واحدة لتنفيذ التعليمات البرمجية عن بُعد في اليوم صفر في برنامج Internet Explorer ، وواحدة من أجل رفض ثغرة الخدمة في Windows المدافع.

في حالة Internet Explorer ، يتم استغلال ثغرة الأمان – التي اكتشفها كليمان ليسين من مجموعة تحليل التهديدات من Google – بشكل نشط. تصفه Microsoft بأنه "ضعف تلف ذاكرة محرك البرمجة النصية" ، وقد قامت بتعيينه CVE-2019-1367.

أنظر أيضا:

عند وصف مشكلة عدم الحصانة ، تشرح Microsoft أنه يمكن استخدام مواقع الويب الضارة لاستغلال الخلل والوصول إلى جهاز الكمبيوتر الخاص بالضحية: "توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد بالطريقة التي يتعامل بها مشغل البرمجة النصية مع الكائنات الموجودة في الذاكرة في برنامج Internet Explorer."

تطول الشركة ليقول:

قد تؤدي مشكلة عدم الحصانة إلى إتلاف الذاكرة بطريقة تمكن المهاجم من تنفيذ تعليمات برمجية عشوائية في سياق المستخدم الحالي. يمكن للمهاجم الذي نجح في استغلال الثغرة الأمنية الحصول على نفس حقوق المستخدم مثل المستخدم الحالي. إذا تم تسجيل دخول المستخدم الحالي بحقوق المستخدم الإدارية ، فيمكن للمهاجم الذي نجح في استغلال الثغرة الأمنية التحكم في النظام المتأثر. يمكن للمهاجم ثم تثبيت البرامج. عرض أو تغيير أو حذف البيانات ؛ أو إنشاء حسابات جديدة مع حقوق المستخدم الكاملة.

يوجد ثغرة أمنية في إصدارات Internet Explorer 9 و 10 و 11. بينما كانت Microsoft تشجع المستخدمين على التبديل إلى Edge ، لا يزال Internet Explorer مثبتًا على عدد كبير من أجهزة الكمبيوتر في جميع أنحاء العالم. تقترح Microsoft حلاً هنا.

تم أيضًا إصدار تحديث أمان ثانٍ خارج النطاق لـ CVE-2019-1255 ، مشكلة عدم حصانة Microsoft Defender Denial of Service. رواه تشارالامبوس بيلينيس من F-Secure Countercept و Wenxu Wu من Tencent Security Xuanwu Lab ، CVE-2019-1255 أقل خطورة ولا يبدو أنه مستغل في الوقت الحالي. مايكروسوفت تقول:

توجد مشكلة عدم حصانة رفض الخدمة عندما يقوم Microsoft Defender بمعالجة الملفات بشكل غير صحيح. يمكن للمهاجم استغلال الثغرة الأمنية لمنع الحسابات المشروعة من تنفيذ ثنائيات النظام الشرعية.

لاستغلال الثغرة الأمنية ، يحتاج المهاجم أولاً إلى الإعدام على نظام الضحية.

رصيد الصورة: تلعثم دي / شترستوك