مايكروسوفت تصدر التحديث الأمني الشهري لإصلاح 98 ثغرة
أصدرت شركة مايكروسوفت يوم الثلاثاء التحديث الأمني الشهري، معلنةً عن 98 ثغرة أمنية، من بينها: 11 ثغرة “حرجة”، و87 ثغرة “مهمة”، ولا توجد ثغرات مصنفة على أنها “متوسطة”.
ووفقًا لعملاقة البرمجيات الأمريكية، فالثغرات الأمنية الحرجة إما إنها أقل احتمالًا أو من غير المرجح أن تُستغَّل، وذلك باستثناء ثغرة تجاوز الأمان ذات المُعرِّف (CVE-2023-21743) التي قد تُستغل على أجهزة الخوادم (Microsoft SharePoint Server).
وأوضحت الشركة أن هذه الثغرة الأمنية منخفضة التعقيد ويمكن للمهاجم استغلالها بسهولة. وفي هجوم عبر الشبكة، يمكن لمستخدم غير مُصادَق عليه إجراء اتصال مجهول بخادم (SharePoint) المستهدف.
وقالت مايكروسوفت إنها تُقلِّل من احتمال استغلال اثنتين من الثغرات “الحرجة” بسبب تعقيدهما، وهما: (CVE-2023-21535)، و (CVE-2023-21548). وهما ثغرتان في تنفيذ التعليمات البرمجية عن بُعد (RCE) في بروتوكول (SSTP) في نظام ويندوز، مما يسمح للمهاجم غير المصادق عليه بإرسال طلب اتصال مُعدّ خصيصًا إلى خادم (RAS)، مما قد يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد على الخادم وتشغيل أوامر غير مصرح بها على النظام المخترق.
وهناك أيضًا خمسة ثغرات في تنفيذ التعليمات البرمجية عن بُعد أمنية “حرجة” تؤثر في بروتوكول (L2TP) وقد يسمح الاستغلال الناجح لمهاجم غير مصدق عليه بتنفيذ تعليمات برمجية على خوادم (RAS). وهذه الثغرات هي: (CVE-2023-21543)، و (CVE-2023-21546)، و (CVE-2023-21555)، و (CVE-2023-21556)، و (CVE-2023-21679).
موضوعات ذات صلة بما تقرأ الآن:
أما آخر ثغرة “حرجة” تُذكر هنا، فهي ثغرة (CVE-2023-21730)، وهي أيضًا ثغرة في تنفيذ التعليمات البرمجية عن بُعد في خدمات التشفير لنظام ويندوز (Windows Cryptographic Service). ولم تُفصِّل مايكروسوفت في هذه الثغرة الأمنية، باستثناء أنه يمكن إطلاقها عبر الشبكة وأنها قليلة التعقيد.
وقد يتعرض المطورون أيضًا للخطر بسبب (CVE-2023-21779)، وهي ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد في (Visual Studio Code) صُنِّفت على أنها “مهمة” وقد يُغرى المستخدمون لفتح ملف ضار في (vscode).