اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی مارس

کمیته رکن چهارم – سه‌شنبه، ۲۲ اسفند ماه، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد.

این اصلاحیه‌ها در مجموع ۱۴ آسیب‌پذیری “حیاتی” (Critical) و ۶۱ آسیب‌پذیری “بااهمیت” (Important) را در سیستم عامل Windows و محصولات زیر ترمیم می‌کنند:

• Internet Explorer
• Microsoft Edge
• Microsoft Exchange Server
• ASP.NET Core
• .NET Core
• PowerShell Core
• ChakraCore
• Microsoft Office
• Microsoft Office Services and Web Apps

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند.

جزییات آسیب‌پذیری‌های CVE-2018-0808 و CVE-2018-0940 که توسط اصلاحیه‌های این ماه ترمیم شده‌اند پیش‌تر به‌صورت عمومی منتشر شده بود. هر چند که هیچ مورد سوءاستفاده از آنها توسط نفوذگران گزارش نشده است.

همچنین بخشی از اصلاحیه‌های این ماه نیز ویژه آسیب‌پذیری‌های Meltdown و Spectre بر روی سیستم‌های عامل قدیمی‌تر مایکروسافت است. این اصلاحیه‌ها نسخه‌های ۳۲ بیتی سیستم‌های عامل زیر را در برابر این آسیب‌پذیری‌ها ایمن می‌کنند:

• Windows 7
• Windows 8.1
• Windows Server 2008 
• Windows Server 2012

نکته قابل توجه دیگر، حذف الزام وجود یک کلید Registry ویژه برای دریافت اصلاحیه‌های مایکروسافت است.

در دی ماه، شرکت مایکروسافت، زمانی که اصلاحیه‌ای اضطراری را برای ترمیم آسیب‌پذیری‌های Meltdown و Spectre عرضه کرد، اعلام نمود که نصب این اصلاحیه بر روی دستگاه‌های با برخی از ضدویروس‌ها می‌تواند منجر به بروز خطای صفحه آبی (Blue Screen) شود. به همین خاطر این شرکت از سازندگان ضدویروس خواست تا در صورت ناسازگار بودن محصولاتشان با این اصلاحیه اقدامات لازم را به عمل آورند.

در آن زمان مایکروسافت کلید جدیدی را در بخش Windows Registry معرفی کرد تا تنها در صورت وجود این کلید، بخش Windows Update بر اساس تنظیمات اعمال شده قادر به دریافت و نصب خودکار اصلاحیه مذکور و اصلاحیه‌های پس از آن بر روی دستگاه باشد.

در حقیقت، مایکروسافت با این روش خواست تا شرکت‌های ضدویروس پس از اطمینان یافتن از سازگاری محصولات خود با اصلاحیه مذکور، این کلید را بر روی دستگاه‌های تحت حفاظت محصولاتشان ایجاد کنند تا پس از آن، نصب اصلاحیه به‌صورت خودکار انجام شود. اکنون، بر اساس اعلام مایکروسافت از این پس بررسی کلید مذکور در Registry متوقف شده و صرف نظر از وجود یا عدم این کلید، نصب اصلاحیه بر اساس تنظیمات Windows Update صورت می گیرد.

مطابق معمول یکی از اصلاحیه‌های ماهانه مایکروسافت نقاط ضعف نرم‌افزار Adobe Flash Player را که در نسخه‌های جدیدتر مرورگرهای مایکروسافت گنجانده شده، در این مرورگرها اصلاح و برطرف می‌کند.

جدول زیر فهرست اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی مارس را نمایش می‌دهد.

منبع: شبکه گستر