انتشار به‌روزرسانی‌های مايكروسافت

شماره: IRCNE2014052190
تاريخ: 24/02/93 

شركت مايكروسافت هشت به روز رساني امنيتي را به منظور برطرف نمودن 14 آسيب پذيري در ويندوز، آفيس و SharePoint Server منتشر كرد. در حال حاضر مهاجمان از سه آسيب پذيري سوء استفاده مي كنند.
اين اولين اصلاحيه از زمان توقف پشتيباني ويندوزXP و آفيس 2003 مي باشد.اگرچه شركت مايكروسافت هفته گذشته يك به روز رساني را براي تمامي نسخه هاي ويندوز از جمله ويندوز XP منتشر كرد اما اين بار از خط مشي سازمان پيروي كرده و با وجود آن كه يكي از آسيب پذيري ها بحراني مي باشد و ويندوز XP را نيز تحت تاثير قرار مي دهد اما هيچ اصلاحيه ايي براي ويندوز XP منتشر نكرده است.
در سه شنبه اصلاحيه مايكروسافت دو به روز رساني براي مايكروسافت آفيس منتشر شده است اما براي آفيس 2003 به روز رساني منتشر نشده است. به همين ترتيب اصلاحيه هايي براي SharePoint Server نسخه هاي 2007، 2010 و 2013 منتشر شده است اما هيچ اصلاحيه اي براي محصولات سال 2003 اين شركت در دسترس نيست.
در حال حاضر مهاجمان در حال سوء استفاده از سه آسيب پذيري مي باشند. يك آسيب پذيري به طور عمومي افشاء شده است. بحراني ترين آسيب پذيري، MS14-029، كه مطمئنا ويندوز XP را تحت تاثير قرار مي دهد، در حال سوء استفاده شدن است اما براي نسخه XP آن اصلاحيه اي منتشر نشده است.

• MS14-029: به روز رساني امنيتي براي IE. بحراني ترين آسيب پذيري در اصلاحيه هاي امروز مايكروسافت مي باشد. تمامي نسخه هاي IE بر روي تمامي نسخه هاي ويندوز نسبت به دو آسيب پذيري تخريب حافظه آسيب پذيري مي باشند كه مي تواند منجر به اجراي كد از راه دور شود.
• MS14-022: تمامي نسخه هاي SharePoint Server از جمله نسخه 2007، 2010 و 2013، هم چنين Office Web Apps، SharePoint Designer و SharePoint Server 2013 Client Components SDK نسبت به يك آسيب پذيري اجراي كد از راه دور آسيب پذيري مي باشند. آسيب پذيري اسكريپت بين سايتي تنها SharePoint Server 2013، Office Web Apps 2013 و SharePoint Server 2013 Client Components SDK را تحت تاثير قرار مي دهد. يك آسيب پذيري مهم اجراي كد از راه دور تنها Office Web Apps 2010 را تحت تاثير قرار داده است.
• MS14-024: آسيب پذيري در Microsoft Common Control مي تواند اجازه دور زدن ويژگي هاي امنيتي را بدهد. يك آسيب پذيري در كتابخانه كنترل هاي رايج MSCOMCTL مي تواند به يك وب سايت مخرب اجازه دهد تا ASLR را دور زند. اين آسيب پذيري در تمامي نسخه هاي آفيس وجود دارد و احتمال دارد كه از طريق IE نيز بتواند مورد سوء استفاده واقع شود. توجه: آفيس 2003 تحت تاثير اين آسيب پذيري قرار دارد اما شركت مايكروسافت اصلاحيه اي براي آن منتشر نكرده است.
• MS14-023: آسيب پذيري ها در مايكروسافت آفيس مي تواند منجر به اجراي كد از راه دور شود.
• MS14-025: آسيب پذيري ها در Group Policy Preferences مي تواند منجر به افزايش سطح دسترسي شود.
• MS14-026: آسيب پذيري در چارچوب كاري .NET مي تواند اجازه افزايش سطح دسترسي را بدهد.
• MS14-027: تمامي نسخه هاي ويندوز داراي آسيب پذيري افزايش سطح دسترسي مي باشند. يك مهاجم مي تواند كدي را در LocalSystem اجرا نمايد.
• MS14-028: آسيب پذيري در Windows Shell Handler مي تواند اجازه افزايش سطح دسترسي را بدهد. نسخه هاي سرور ويندوز نسبت به دو آسيب پذيري انكار سرويس در مسيري كه ويندوز بسته هاي iSCSI را مديريت مي كند، آسيب پذير هستند.