الأمن الإلكترونيعالم الكمبيوتر

مايكروسوفت تصدر التحديث الأمني الشهري لإصلاح 98 ثغرة

أصدرت شركة مايكروسوفت يوم الثلاثاء التحديث الأمني الشهري، معلنةً عن 98 ثغرة أمنية، من بينها: 11 ثغرة “حرجة”، و87 ثغرة “مهمة”، ولا توجد ثغرات مصنفة على أنها “متوسطة”.

ووفقًا لعملاقة البرمجيات الأمريكية، فالثغرات الأمنية الحرجة إما إنها أقل احتمالًا أو من غير المرجح أن تُستغَّل، وذلك باستثناء ثغرة تَجاوُزِ الأمانِ ذات المُعرِّف (CVE-2023-21743) التي قد تُستغل على أجهزة الخوادم (Microsoft SharePoint Server).

وأوضحت الشركة أن هذه الثغرة الأمنية منخفضة التعقيد ويمكن للمهاجم استغلالها بسهولة. وفي هجوم عبر الشبكة، يمكن لمستخدم غير مُصادَق عليه إجراء اتصال مجهول بخادم (SharePoint) المستهدف.

وقالت مايكروسوفت إنها تُقلِّل من احتمال استغلال اثنتين من الثغرات “الحرجة” بسبب تعقيدهما، وهما: (CVE-2023-21535)، و (CVE-2023-21548). وهما ثغرتان في تنفيذ التعليمات البرمجية عن بُعد (RCE) في بروتوكول (SSTP) في نظام ويندوز، مما يسمح للمهاجم غير المصادق عليه بإرسال طلب اتصال مُعدّ خصوصًا إلى خادم (RAS)، مما قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على الخادم وتشغيل أوامر غير مصرح بها على النظام المخترق.

وهناك أيضًا خمس ثغرات أمنية “حرجة” في تنفيذ التعليمات البرمجية عن بُعد تؤثر في بروتوكول (L2TP) وقد يسمح الاستغلال الناجح لمهاجم غير مصادق عليه بتنفيذ تعليمات برمجية على خوادم (RAS). وهذه الثغرات هي: (CVE-2023-21543)، و (CVE-2023-21546)، و (CVE-2023-21555)، و (CVE-2023-21556)، و (CVE-2023-21679).

أما آخر ثغرة “حرجة” تُذكر هنا، فهي ثغرة (CVE-2023-21730)، وهي أيضًا ثغرة في تنفيذ التعليمات البرمجية عن بُعد في خدمات التشفير لنظام ويندوز (Windows Cryptographic Service). ولم تُفصِّل مايكروسوفت في هذه الثغرة الأمنية، باستثناء أنه يمكن إطلاقها عبر الشبكة وأنها قليلة التعقيد.

وقد يتعرض المطورون أيضًا للخطر بسبب (CVE-2023-21779)، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في (Visual Studio Code) صُنِّفت على أنها “مهمة” وقد يُغرى المستخدمون لفتح ملف ضار في (vscode).

زر الذهاب إلى الأعلى