مايكروسوفت تصحح 112 نقطة ضعف في منتجاتها

أصدرت شركة مايكروسوفت تصحيح شهر نوفمبر الذي يصحح 112 نقطة ضعف أمنية مكتشفة حديثًا في منتجات عملاقة البرمجيات.

ومن أصل 112 نقطة ضعف تم إصلاحها، تم تصنيف 17 منها بأنها حرجة، و 93 مصنفة بأنها مهمة، واثنتان بأنها متوسطة.

وتتضمن التصحيحات إصلاحًا لثغرة تصعيد الامتيازات في برنامج تشغيل تشفير نواة ويندوز CVE-2020-17087، وهي الثغرة التي اكتشفها فريق Project Zero من شركة جوجل في الأسبوع الماضي.

وصنفت مايكروسوفت الثغرة الأمنية CVE-2020-17087 بأنها مهمة من حيث الخطورة، ويحتاج المهاجم المهتم باستغلال الخطأ إلى الوصول الفعلي إلى عمليات التثبيت المختلفة لنظام التشغيل Windows Server أو Windows 10 أو Windows 7 أو Windows 8.1 أو Windows RT المتأثرة بالعيب.

وتشمل تحديثات الأمان مجموعة من البرامج، ومن ضمنها: Microsoft Windows و Office و Office Services و Web Apps و Internet Explorer و Edge و Exchange Server و Microsoft Dynamics و Windows Codecs Library و Azure Sphere و Windows Defender و Microsoft Teams و Visual Studio.

ويعمل التحديث على إصلاح عدد من الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد RCE التي تؤثر في Exchange Server و Network File System و Microsoft Teams، بالإضافة إلى خلل تجاوز الأمان في برنامج المحاكاة الافتراضية Windows Hyper-V.

وحصلت ثغرة CVE-2020-17051 على تصنيف 9.8 من 10، مما يجعلها ثغرة أمنية خطيرة، ومع ذلك، قالت مايكروسوفت: إن تعقيد الهجوم – الظروف الخارجة عن سيطرة المهاجم التي يجب أن تكون موجودة من أجل استغلال الثغرة الأمنية – يجعله منخفضًا.

وتشمل العيوب الحرجة الأخرى التي أصلحتها مايكروسوفت هذا الشهر ثغرات أمنية تتعلق بتلف الذاكرة في Microsoft Scripting Engine و Internet Explorer، والعديد من عيوب تنفيذ التعليمات البرمجية عن بُعد RCE في مكتبة برامج ترميز ملحقات فيديو HEVC.

وكما هو الحال مع الثغرات الأمنية الحرجة، فإن التحذيرات المرتبطة بأوجه القصور الأمنية هذه قليلة الأوصاف والمعلومات حول كيفية إساءة استخدام عيوب تنفيذ التعليمات البرمجية عن بُعد RCE أو أي ميزة للأمان في Windows Hyper-V يتم تجاوزها.

وتوصي مايكروسوفت بشدة أن يطبق مستخدمو ويندوز ومسؤولو النظام أحدث تصحيحات الأمان لحل التهديدات المرتبطة بهذه المشكلات.