مایکروسافت چند آسیب‌پذیری را در Outlook وصله کرد

کمیته رکن چهارم – شرکت مایکروسافت اخیراً وصله‌هایی را منتشر کرده که با استفاده از آن‌ها چند آسیب‌پذیری حیاتی در برنامه‌ی رایانامه‌ی Outlook برطرف شده است. این برنامه جزئی از نرم‌افزار آفیس است. مایکروسافت اعلام کرده هیچ یک از این آسیب‌پذیری‌ها به‌طور عمومی افشاء نشده و در دنیای واقعی نیز مورد بهره‌برداری قرار نگرفته است. این آسیب‌پذیری‌ها مربوط به فناوری مجازی است که «کلیک برای اجرا» نام داشته و توسط مایکروسافت برای نصب محصولات آفیس مورد استفاده قرار می‌گیرد. 

یکی از این آسیب‌پذیری‌ها توسط گروه امنیتی مایکروسافت کشف شده و به آن شناسه‌ی CVE-۲۰۱۷-۸۶۶۳ اختصاص داده شده است. این آسیب‌پذیری یک اشکال خرابی حافظه است که برای حملات اجرای کد از راه دور مورد بهره‌برداری قرار می‌گیرد. این آسیب‌پذیری با ارسال یک پرونده‌ی جعلی از طریق رایانامه به کاربر در برنامه‌ی Outlook می‌تواند بهره‌برداری شود. 

مایکروسافت در مشاوره‌نامه‌ی خود می‌نویسد: «یک مهاجم که با موفقیت از این آسیب‌پذیری بهره‌برداری کرده است می‌تواند کنترل کامل سامانه‌ی آسیب‌پذیر را در دست بگیرد. مهاجم در ادامه می‌تواند برنامه‌هایی را نصب کرده، داده‌ها را مشاهده، ویرایش و یا حذف کند. او همچنین می‌تواند یک حساب کاربری جدید با تمامی دسترسی‌ها را ایجاد کند.»

یکی دیگر از آسیب‌پذیری‌ها که می‌تواند برای اجرای کدهای دلخواه مورد بهره‌برداری قرار بگیرد دارای شناسه‌ی CVE-۲۰۱۷-۸۵۷۱ است. این آسیب‌پذیری یک اشکالِ دور زدن ویژگی‌های امنیتی است که از بررسی نامناسب ورودی‌ها توسط Outlook ناشی می‌شود. مهاجم می‌تواند با تحریک کاربر به باز کردن یک سند آلوده و جعلی و تعامل با آن، از این آسیب‌پذیری بهره‌برداری کند. 

آسیب‌پذیری سوم دارای شناسه‌ی CVE-۲۰۱۷-۸۵۷۲ بوده و یک اشکال افشای اطلاعات است. این آسیب‌پذیری به این دلیل وجود دارد که آفیس به‌طور نامناسبی محتویات و داده‌های حافظه را افشاء می‌کند. مهاجمی که آدرس حافظه‌ی شیء مورد نظر خود را می‌داند با تحریک قربانی به باز کردن یک پرونده‌ی جعلی اطلاعات بیشتری بدست آورده و به سامانه‌ی هدف دسترسی پیدا کند. محققانی از فیس‌بوک و NCC برای گزارش این آسیب‌پذیری از مایکروسافت جایزه دریافت کردند. 

مایکروسافت اعلام کرده در این وصله‌ها تعدادی از آسیب‌پذیری‌های موجود در به‌روزرسانی ماه جولای نیز گنجانده شده است. وصله‌های مربوط به Outlook در به‌روزرسانی‌های جولای منتشر شده بود که با گزارش برخی کاربران در خصوص فروپاشی سامانه‌ها، مایکروسافت مجبور شد تا آن‌ها را مجدداً ارسال کند. مایکروسافت می‌گوید از ۸ آسیب‌پذیری که شناسایی شده بود، ۶ مورد وصله شده و ۲ مورد از آسیب‌پذیری‌ها در حال بررسی است.

منبع: news.asis.io

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.