انتشار به‌روزرسانی امنیتی برای محصولات مایکروسافت

کمیته رکن چهارم – شرکت مایکروسافت برای رفع آسیب‌پذیری‌های روز صفر مرورگر اج و دیگر محصولاتش یک به‌روزرسانی امنیتی منتشر کرد.

شرکت مایکروسافت جهت رفع دو آسیب‌پذیری روز صفر در مرورگر Edge با شناسه‌های CVE-2023-4863 و CVE-2023-5217، اقدام به انتشار به‌روز رسانی امنیتی فوری کرد که جزئیات این آسیب‌پذیری‌ها به شرح زیر ارائه شده است:

CVE-2023-4863: این آسیب‌پذیری از نوع سرریز بافر می‌باشد که در کتابخانه libwebp رخ می‌دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد تصاویر با فرمت WebP مورد استفاده قرار می‌گیرد. آسیب‌پذیری مذکور به مهاجم این امکان را می‌دهد تا بعد از سرریز بافر، کد مخرب خود را به سیستم تزریق کند. این کتابخانه در مرورگرهای دیگری نظیر Safari، Mozilla Firefoxو Opera نیز مورد استفاده قرار گرفته و از این رو کاربران آن‌ها نیز ممکن است مورد هدف حملات قرار گیرند.

CVE-2023-5217: این آسیب‌پذیری نیز از نوع سرریز بافر می‌باشد که در کتابخانه libvpx رخ می دهد. این کتابخانه در فرآیند کد کردن و بازگشایی کد ویدئوها با دو فرمت VP9 وVP8 در نرم افزارهای پخش ویدئو مورد استفاده قرارمی‌گیرد. از این کتابخانه علاوه بر نرم‌افزارهای دسکتاپی پخش فیلم، در سکوهایی مانند Netflix، YouTube و Amazon Prime Video نیز استفاده شده است. این آسیب‌پذیری نیز همچون آسیب‌پذیری فوق الذکر این امکان را برای مهاجم فراهم خواهد آورد تا بعد از اجرای فرآیند سرریز بافر، کد مخرب خود را به سیستم تزریق کرده و از این طریق حملات خود را در سیستم قربانی پیاده‌سازی کند.

محصولات تحت تأثیر
از بین نرم‌افزارهای شرکت مایکروسافت، محصولات تحت تأثیر آسیب‌پذیری با شناسه CVE-2023-4863 می‌باشند:

Skype for Desktop
Webp Image Extensions
Microsoft Teams for Desktop
مرورگر Edge نیز تحت تأثیر هر دوی این آسیب‌پذیری‌ها قرار دارد.

توصیه‌های امنیتی
شرکت مایکروسافت جهت رفع این دو آسیب‌پذیری، به‌روزرسانی‌های امنیتی خود را منتشر و به کاربران توصیه کرده است هرچه سریع‌تر نسبت به به‌روزرسانی نرم¬افزارهای خود اقدامات لازم را انجام دهند.

منبع: افتانا