مايكروسوفت قد مصححة خلل بالغ الأهمية في برامجها التي كانت موجودة لمدة 19 عاما.
اكتشف الباحثون IBM الخلل الذي يصيب ويندوز وأوفيس المنتجات، في مايو من هذا العام - ولكن عملت مع مايكروسوفت لعلاج هذه المشكلة قبل أن يذهب الجمهور.
وقال IBM كانت علة كانت حاضرة في كل نسخة من ويندوز منذ 95.
يمكن استغلال المهاجمين علة للسيطرة على جهاز الكمبيوتر عن بعد، ويجري ذلك حث المستخدمين من تحميل التحديثات.
مايكروسوفت قد عالجت مشكلة في التحديث الأمني الشهري - الإفراج عن 14 بقع، مع اثنين آخرين من المتوقع أن بيعت في وقت قريب.
في بلوق وظيفة شرح الضعف في العمق، الباحث IBM روبرت فريمان يقول: "إن علة يمكن استخدامها من قبل المهاجمين لحملة هجمات لتشغيل موثوق كود عن بعد والسيطرة على جهاز المستخدم."
في أمن الكمبيوتر، هجوم بالسيارة عن طريق عادة مما يجعل المستخدمين تحميل البرمجيات الخبيثة.
وقد تصنف باعتبارها 9.3 من الممكن 10 على الضعف المشترك نظام تسجيل النقاط (CVSS)، وهو مقياس لشدة في أمن الكمبيوتر - ضعف - اطلق عليها اسم WinShock البعض.
ستة أرقام
يوجد خلل أيضا في منصات ويندوز سيرفر مايكروسوفت - وضع أمن المواقع التي تتعامل مع البيانات المشفرة للخطر.
على وجه التحديد، أنها تتعلق مايكروسوفت القناة الآمنة، والمعروفة باسم القناة، والبرمجيات مايكروسوفت لتنفيذ نقل آمن للبيانات.
القناة ينضم الآن للمعايير الرئيسية الأخرى آمنة - أبل SecureTransport، GNUTLS، بينسل وNSS - في وجود عيب رئيسي اكتشفت هذا العام.
شعار هارتبليد
وشبهت علة لهارتبليد، تؤثر قضية أمنية كبيرة أيضا نقل البيانات بشكل آمن
وكان خبراء أمن مقارنة هذا أحدث خللا للمشاكل الهامة الأخرى التي برزت إلى النور هذا العام مثل علة هارتبليد.
ومع ذلك، وأضافوا أنه في حين أن تأثيرها يمكن أن يكون مجرد كبيرا كما أنه قد يكون من الصعب على المهاجمين استغلال.
كما هو الحال مع هارتبليد، واستغلال نقاط الضعف في صلته التكنولوجيا المستخدمة لنقل البيانات بشكل آمن - المعروفة باسم SSL (طبقة المقابس الآمنة).
لا يوجد أي دليل تم استغلال الأخطاء التي تم تحديدها من قبل آي بي إم "في البرية"، ولكن الآن أن التصحيح قد صدر والمشكلة الملأ، وتوقع خبراء هجمات على الخروج من التاريخ آلات سيكون "على الأرجح".
وأضاف الباحثون قد بيعت علة قد ربما كانت قيمتها أكثر من ستة أرقام لقراصنة الجنائية.
وقال جافين ميلارد، من متقبل شبكة الأمن كان حقيقة هناك كان لا يعرف بعد الهجمات يجب ألا يحد من المخاوف.
"بينما لا إثبات صحة المفهوم قد ظهر متاحة بعد، نظرا لكونها مايكروسوفت ولله الحمد التزموا الصمت حول التفاصيل الدقيقة للضعف، فإنه لن يمر وقت طويل حتى واحد لا، والتي يمكن أن تكون كارثية لأي المشرف الذي لديه لا المحدثة.
"هل WinShock سيئا كما هارتبليد؟ في الوقت الحالي، نظرا لعدم وجود تفاصيل وإثبات صحة مفهوم الرمز، فإنه من الصعب القول، لكن نقطة ضعف تنفيذ التعليمات البرمجية عن بعد التي تؤثر على كافة إصدارات خادم ويندوز على عنصر مشترك مثل القناة هو حتى مع وجود أسوأ منهم ".
No comments:
Post a Comment