سیاست و بازاریابی

آخرين مطالب

به‌روزرسانی مایکروسافت برای آسیب‌پذیری مهم ویندوز و ویژوال استودیو نکات خواندني

به‌روزرسانی مایکروسافت برای آسیب‌پذیری مهم ویندوز و ویژوال استودیو
  بزرگنمايي:

سیاست و بازاریابی - زومیت / مایکروسافت بلافاصله بعداز انتشار به‌روزرسانی ماهانه‌ی خود، دو به‌روزرسانی اضطراری دیگر برای آسیب‌پذیری امنیتی در ویندوز و ویژوال استودیو منتشر کرده است.
دو نقص فنی جدید از نوع RCE که به مهاجمان اجازه‌ی اجرای کدها از راه‌دور (Remote Code Execution) می‌دهند، در کتابخانه‌ی کدک‌های ویندوز (Windows Codecs Library) و ویرایشگر متنی ویژوال استودیو کد مایکروسافت (Visual Studio Code) کشف شدند و مایکروسافت را وادار به ارائه‌ی وصله‌ی امنیتی اضطراری کردند.
مایکروسافت روز گذشته دو به‌روزرسانی امنیتی خارج از نوبت به‌منظور رفع آسیب‌پذیری‌های موجود در کتابخانه‌ی کدک‌های ویندوز و اپلیکیشن ویژوال استودیو کد منتشر کرد. دو به‌روزرسانی با فاصله‌ی اندکی بعد از انتشار وصله‌ی امنیتی ماهانه‌ی مایکروسافت در هفته‌ی گذشته منتشر شد. وصله‌ی امنیتی مایکروسافت برای این ماه 87 آسیب‌پذیری را مرتفع می‌کرد؛ اما این دو نقص فنی را شامل نمی‌شد.
آسیب‌پذیری کتابخانه‌ی کدک‌های ویندوز با شناسه‌ی CVE-2020-17022 معرفی شده است. مایکروسافت می‌گوید مهاجمان ازطریق این آسیب‌پذیری توانایی لازم برای ایجاد ایمیج‌های آلوده را دارند تا زمانی‌که ازطریق یک اپلیکیشن روی ویندوز اجرا شوند، کدهای مد نظر خود را روی سیستم‌عامل ویندوز به‌روزنشده، اجرا کنند. این آسیب‌پذیری ظاهرا در تمام نسخه‌های ویندوز 10 شناسایی شده است. مایکروسافت اعلام کرد با توجه‌ به اهمیت بالای این نقص فنی، به‌روزرسانی مخصوص Library به‌صورت خودکار و ازطریق Microsoft Store روی سیستم‌های کاربران نصب خواهد شد.
خبر خوش درباره‌ی آسیب‌پذیری این است که فقط کاربرانی که کدک‌های ویدئویی اختیاری HEVC یا کدگذاری ویدیویی پربازده (High Efficiency Video Coding) را از مایکروسافت استور نصب کردند، در معرض خطر حمله قرار دارند.
کدک‌های HEVC به‌صورت آفلاین دردسترس نیستند و فقط ازطریق مایکروسافت استور می‌توان آن‌ها را نصب کرد. کتابخانه‌ی مدنظر روی ویندوز سرور پشتیبانی نمی‌شود؛ بنابراین در این باره برای کاربران این پلتفرم نگرانی وجود ندارد.
کاربران برای اطمینان حاصل ‌کردن از اینکه از کدک‌های آسیب‌پذیر HEVC استفاده نمی‌کنند، می‌توانند وارد بخش Settings, Apps & Features شوند و با انتخاب گزینه‌ی HEVC, Advanced Optoins نسخه‌ی نصب‌شده را بررسی کنند. نسخه‌های ایمن این کدک شامل 1.0.32762.0 و 1.0.32763.0 و نسخه‌های بعدی می‌شوند.
آسیب‌پذیری مربوط به ویرایشگر متنی ویژوال استودیو کد با شناسه‌ی CVE-2020-17023 معرفی شده است. بنابر گفته‌ی مایکروسافت، مهاجمان قادر خواهند بود با استفاده از این آسیب‌پذیری فایل‌های package.json ایجاد کنند که در اپلیکیشن ویژوال استودیو کد بارگذاری شود و برای آن‌ها امکان اجرای کدهای مخرب را فراهم کند.
طبق مجوزهایی که کاربر به نرم‌افزارهای مختلف داده است، مهاجم می‌تواند کدها را با دسترسی‌های Adminstrator اجرا کند و به‌طور کامل روی سیستم قربانی تسلط داشته باشد.
فایل‌های pakage.json غالبا به‌وسیله‌ی کتابخانه‌ها و پروژه‌های جاوا اسکریپت مورد استفاده قرار می‌گیرند. ازآنجاکه جاوا اسکریپت و به‌خصوص فناوری Node.js در سمت سرور، از فناوری‌های محبوب به‌شمار می‌روند، کاربران زیادی ممکن است در معرض خطر امنیتی قرار داشته باشند. بنابراین به کاربران ویژوال استودیو کد توصیه‌ی اکید شده است تا در سریع‌ترین زمان ممکن، به‌روزرسانی‌ها را انجام دهند و آخرین نسخه را نصب کنند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

اجرای سیاستهای راهبردی و نقش بی بدیل آمار و اطلاعات / محمد شریعتمداری - وزیر تعاون، کار و رفاه اجتماعی

مدیرکل تعاون، کار و رفاه اجتماعی زنجان خبر داد: افزایش 83 درصدی بازرسی‌ها از واحدهای تولیدی استان در سال 99

مدیرکل تعاون، کار و رفاه اجتماعی گیلان: خدمت بی منت به مردم باید سرلوحه همه دستگاه های اجرایی باشد

حمایت مالی اداره کل تعاون،کار و رفاه اجتماعی استان البرز از پایان نامه ها و طرح های پژوهشی با موضوع تعاون

مدیر کل تعاون، کار و رفاه اجتماعی چهارمحال و بختیاری: بیش از 80 هزار کارگر تحت پوشش تامین اجتماعی هستند

مدیر کل تعاون، کار و رفاه اجتماعی آذربایجان شرقی: تعاون اثرگذار و گره گشای بخش های اقتصادی است

تعاونی‌های بهداشتی خراسان شمالی حدود 33 میلیارد ریال تسهیلات گرفتند

امروزه آمار و اطلاعات، لازمه حکمرانی خوب و ابزار دستیابی به توسعه همه جانبه است

خریداران پیکسل 5 از شکاف میان نمایشگر و فریم گوشی خبر می‌دهند

فضاپیمای ناسا با هدف جمع‌آوری نمونه روی سیارک «بنو» فرود آمد

به دنبال راهی بهتر برای درخواست جستجوی کلمات فارسی: نتیجه «خودکشی» در گوگل

جعبه‌گشایی و نگاه نزدیک به آیفون 12 و 12 پرو [تماشا کنید]

مایکروسافت از یک دیتاسنتر قابل حمل و ماژولار رونمایی کرد

هواوی Y7a با دوربین 48 مگاپیکسلی معرفی شد

فتوشاپ با فیلترها و ابزارهای جدید مبتنی بر هوش مصنوعی به‌روز شد

وزارت دادگستری آمریکا از گوگل به اتهام انحصارطلبی شکایت کرد

لزوم بازنگری ساختار بودجه با اولویت‌بندی پروژه‌ها و مدیریت هزینه‌ها

آپدیت اکتبر 2020 ویندوز 10 با منوی استارت جدید منتشر شد

معاون فنی بانک مرکزی: بانک‌ها تا 2 سال دیگر کاملا مجازی می‌شوند

صید و شکار پرندگان مهاجر ممنوع!

مدیر کل محیط زیست و توسعه پایدار شهرداری تهران: برنامه جامع کاهش آلودگی هوا دست و پا شکسته اجرا شده است

پلنگ‌ها 10 نوبت در شیروان رونمایی کردند

تله‌تکست در دل تلویزیون؛ روزگاری که اینترنت نداشتیم

ارسال 2 پیامک صدور باربرگ برای رانندگان خطای نرم افزاری است

توسعه حمل و نقل عمومی «ضرورت ملی» است

انتصاب مشاور و مدیرکل حوزه معاونت مالی و اقتصاد شهری شهرداری تهران

شلوغی ناوگان حمل و نقل تابع فعالیت در شهر است

777 دستگاه خودرو عمومی در منطقه همدان رایگان گازسوز شدند

هوای ناسالم پایتخت

به ما دروغ می‌گفتند خانه امام شبیه کاخ هست

حضور سازمان نوسازی شهرداری تهران در کنفرانس بین‌المللی بازآفرینی شهری سئول 2020

دولت کمکی برای جبران خسارت مجموعه های ورزشی نکرده است

تور مجازی کاخ گلستان در روز سازمان ملل برگزار می شود

دورکاری واقعی به فرهنگ سازی و امکانات نیاز دارد

پیشرفت 74 پروژه کوچک مقیاس رصد شد

بازده ذخیره‌سازی گاز در مخزن سراجه افزایش یافت

دریاچه خلیج فارس

بورس انرژی میزبان عرضه نفتای سبک و سنگین پالایشگاه تهران می‌شود

قیمت نفت در پی افزایش ذخیره‌سازی آمریکا کاهش یافت

طرح تفصیلی و غفلت از نگاه توسعه ری

نوکیا جلوی فروش لنوو را می‌گیرد

ردپای هوش مصنوعی ایرانی در رتبه‌های جهانی

مشکل عجیب گوشی‌های پیکسل 5

ب‌ام‌و بزرگ‌ترین آپدیت نرم‌افزاری خود را برای 750 هزار خودرو ارائه می‌کند

تشکیل کارگروه ویژه تسریع ساماندهی وضعیت پسماند سایت محمدآباد قزوین با دستور رئیس کل دادگستری

پویش ملی ارتقا سلامت و نشاط زنان

مدیرکل تعاون، کار و رفاه اجتماعی زنجان: در کارگاه های استان 94 درصد کارگران از ماسک استفاده می کنند

انجام غربالگری بینایی 123 هزار کودک در البرز

سقوط از ارتفاع صدرنشین علل حادثه‌های ناشی از کار خراسان شمالی است

موانع عدم اجرائی شدن صدور شناسنامه برای کودکان حاصل ازدواج بامردان غیرایرانی

سیاست و بازاریابی

سیاست و بازاریابی