پایگاه خبری تحلیلی پیام سپاهان

آخرين مطالب

به‌روزرسانی مایکروسافت برای آسیب‌پذیری مهم ویندوز و ویژوال استودیو علمي

به‌روزرسانی مایکروسافت برای آسیب‌پذیری مهم ویندوز و ویژوال استودیو
  بزرگنمايي:

پیام سپاهان - زومیت / مایکروسافت بلافاصله بعداز انتشار به‌روزرسانی ماهانه‌ی خود، دو به‌روزرسانی اضطراری دیگر برای آسیب‌پذیری امنیتی در ویندوز و ویژوال استودیو منتشر کرده است.
دو نقص فنی جدید از نوع RCE که به مهاجمان اجازه‌ی اجرای کدها از راه‌دور (Remote Code Execution) می‌دهند، در کتابخانه‌ی کدک‌های ویندوز (Windows Codecs Library) و ویرایشگر متنی ویژوال استودیو کد مایکروسافت (Visual Studio Code) کشف شدند و مایکروسافت را وادار به ارائه‌ی وصله‌ی امنیتی اضطراری کردند.
مایکروسافت روز گذشته دو به‌روزرسانی امنیتی خارج از نوبت به‌منظور رفع آسیب‌پذیری‌های موجود در کتابخانه‌ی کدک‌های ویندوز و اپلیکیشن ویژوال استودیو کد منتشر کرد. دو به‌روزرسانی با فاصله‌ی اندکی بعد از انتشار وصله‌ی امنیتی ماهانه‌ی مایکروسافت در هفته‌ی گذشته منتشر شد. وصله‌ی امنیتی مایکروسافت برای این ماه 87 آسیب‌پذیری را مرتفع می‌کرد؛ اما این دو نقص فنی را شامل نمی‌شد.
آسیب‌پذیری کتابخانه‌ی کدک‌های ویندوز با شناسه‌ی CVE-2020-17022 معرفی شده است. مایکروسافت می‌گوید مهاجمان ازطریق این آسیب‌پذیری توانایی لازم برای ایجاد ایمیج‌های آلوده را دارند تا زمانی‌که ازطریق یک اپلیکیشن روی ویندوز اجرا شوند، کدهای مد نظر خود را روی سیستم‌عامل ویندوز به‌روزنشده، اجرا کنند. این آسیب‌پذیری ظاهرا در تمام نسخه‌های ویندوز 10 شناسایی شده است. مایکروسافت اعلام کرد با توجه‌ به اهمیت بالای این نقص فنی، به‌روزرسانی مخصوص Library به‌صورت خودکار و ازطریق Microsoft Store روی سیستم‌های کاربران نصب خواهد شد.
خبر خوش درباره‌ی آسیب‌پذیری این است که فقط کاربرانی که کدک‌های ویدئویی اختیاری HEVC یا کدگذاری ویدیویی پربازده (High Efficiency Video Coding) را از مایکروسافت استور نصب کردند، در معرض خطر حمله قرار دارند.
کدک‌های HEVC به‌صورت آفلاین دردسترس نیستند و فقط ازطریق مایکروسافت استور می‌توان آن‌ها را نصب کرد. کتابخانه‌ی مدنظر روی ویندوز سرور پشتیبانی نمی‌شود؛ بنابراین در این باره برای کاربران این پلتفرم نگرانی وجود ندارد.
کاربران برای اطمینان حاصل ‌کردن از اینکه از کدک‌های آسیب‌پذیر HEVC استفاده نمی‌کنند، می‌توانند وارد بخش Settings, Apps & Features شوند و با انتخاب گزینه‌ی HEVC, Advanced Optoins نسخه‌ی نصب‌شده را بررسی کنند. نسخه‌های ایمن این کدک شامل 1.0.32762.0 و 1.0.32763.0 و نسخه‌های بعدی می‌شوند.
آسیب‌پذیری مربوط به ویرایشگر متنی ویژوال استودیو کد با شناسه‌ی CVE-2020-17023 معرفی شده است. بنابر گفته‌ی مایکروسافت، مهاجمان قادر خواهند بود با استفاده از این آسیب‌پذیری فایل‌های package.json ایجاد کنند که در اپلیکیشن ویژوال استودیو کد بارگذاری شود و برای آن‌ها امکان اجرای کدهای مخرب را فراهم کند.
طبق مجوزهایی که کاربر به نرم‌افزارهای مختلف داده است، مهاجم می‌تواند کدها را با دسترسی‌های Adminstrator اجرا کند و به‌طور کامل روی سیستم قربانی تسلط داشته باشد.
فایل‌های pakage.json غالبا به‌وسیله‌ی کتابخانه‌ها و پروژه‌های جاوا اسکریپت مورد استفاده قرار می‌گیرند. ازآنجاکه جاوا اسکریپت و به‌خصوص فناوری Node.js در سمت سرور، از فناوری‌های محبوب به‌شمار می‌روند، کاربران زیادی ممکن است در معرض خطر امنیتی قرار داشته باشند. بنابراین به کاربران ویژوال استودیو کد توصیه‌ی اکید شده است تا در سریع‌ترین زمان ممکن، به‌روزرسانی‌ها را انجام دهند و آخرین نسخه را نصب کنند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

بازخوانی تاریخ ترورهای نافرجام یک آیت الله

تصاویر: کاروانسرایی در اصفهان که «آنتونی کوئین» در آن فیلم بازی کرد

کلاه‌برداری 40 میلیاردی یک طلافروش از مشتریانش

بورس ایران نتیجه انتخابات آمریکا را پیش خور کرده است

سخنان عجیب ترامپ درباره کرونا

ارزش صادرات استان اصفهان در سال 99 از یک میلیارد دلار فراتر رفت

نگهداری کرم ابریشم در خانه

رفع بیش از 90درصد تعهدات ارزی صادرکنندگان اصفهان

با یک برنامه‌ریزی جامع، در نظام آموزشی کشور مشکلات موجود را حل میشود

محدودیت های کرونایی در سمیرم اجرایی شد

نجات مرد 25 ساله از ارتفاعات کوه صفه

حریق در کوه صفه +فیلم

تلاش نماینده ولی فقیه برای حل مشکل آب روستاهای محمدآباد و بهارستان به سرانجام رسید

گفت‌وگو با دن براون و تجربه جدید نویسنده پرحاشیه

کتاب «مهمان تکنولوژی باشید» منتشر شد

آنر بند 6 به زودی با نمایشگر تمام صفحه معرفی می‌شود

کانن دوربینی با قابلیت تعویض لنز برای تلفن همراه می‌سازد

گوگل نیز در راستای حفظ محیط‌زیست گام خواهد برداشت

AMD و خرید «زایلینکس»؛ رقابت سنگین‌وزن‌ها وارد مرحله جدیدی شد

بررسی بازی Ghostrunner از دید سایت‌های معتبر دنیا

از اضطراب کرونا تا ترس از یک چالش

سدهای ضدتحریمی اقتصاد

روش‌های مکانیکی دور زدن تحریم

انتخابات آمریکا و چشم انداز قیمت دلار در ایران

اگر ترامپ بازهم رئیس جمهور شود...

آیا مسیر پاستور از واشنگتن می‌گذرد؟

بایدن یا ترامپ؛ ترجیح جهان چیست؟

روزی تاریخی برای مردم شیلی

وقتی ترامپ کرونا را توطئه رسانه ها می داند

دولت سودان هم به قطار خیانت پیوست

حسن فتحی به حاشیه های مست عشق پاسخ داد + عکس

صوت/ حکایت "نهی از بسیار خوردن" از «گلستان سعدی» با صدای خسرو شکیبایی

«در چنگال کابوس»، تپش زندگی در دوره کروناست

دو خط کتاب/ کسانی که در نور روز زندگی می‌کنند عمق شب را درک می‌کنند؟

شاعرانه/ "ما گشته ایم، نیست، تو هم جستجو مکن" از فاضل نظری

برخی قابلیت‌های گلکسی زد فولد 2 به گلکسی فولد اضافه شد

تخفیف ویژه‌ برای بازی Death Worm

آخرین قیمت انواع لپ تاپ در بازار

بازی Badlanders برروی گوشی‌های هوشمند منتشر شد

با لگو و یونیتی بدون نیاز به کدنویسی بازی بسازید

اسپنسر: روند گسترش سرویس گیم‌پس ادامه خواهد یافت

شارژ بی‌سیم ایرپاور هیچ‌گاه تولید نخواهد شد

تاریخ انتشار بازی FIFA 21 برروی کنسول‌های نسل نهم اعلام شد

اپل دسترسی به مرورگر سرویس استریم بازی استادیا را مسدود کرد

به‌روزرسانی جدید بازی Crying Suns به‌زودی عرضه خواهد شد

چند نکته ضروری و حیاتی درباره ضدعفونی کردن تلفن همراه

برخی از مشخصات اصلی شیائومی می واچ لایت فاش شد

آتش نشان رباتیک استخدام شد

نسل بعدی ایرپاد پرو دستخوش تغییر اساسی خواهد شد

مشخصات جدیدی از بازی Devil May Cry 5 مشخص شد