به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران به نقل از بایت؛ شرکت مايکروسافت هشت به‌روز رساني امنيتي را به منظور رفع نمودن 14 آسيب‌پذيري در ويندوز، Office و SharePoint Server منتشر کرد. در حال حاضر مهاجمان از سه آسيب‌پذيري سوءاستفاده مي‌کنند. اين اولين اصلاحيه از زمان توقف پشتيباني ويندوز XP و Office 2003 است. اگر چه شرکت مايکروسافت چندی قبل يک به‌روز رساني را براي تمامي نسخه‌هاي ويندوز از جمله ويندوز XP منتشر کرد اما اين بار از خط مشي سازمان پيروي کرده و با وجود آن که يکي از آسيب‌پذيري‌ها، بحراني مي‌باشد و ويندوز XP را نيز تحت تاثير قرار مي‌دهد اما هيچ اصلاحيه‌اي براي ويندوز XP منتشر نشد.

اصلاحيه مايکروسافت دو به‌روز رساني بـراي Office منتشـر شـد امـا بـراي Office 2003 به‌روز رساني منتشر نشده است. به همين ترتيب اصلاحيه‌هايي براي SharePoint Server نسخه‌هاي 2007، 2010 و 2013 منتشر شده است اما هيچ اصلاحيه‌اي براي محصولات سال 2003 اين شرکت در دسترس نيست. به گزارش مايکروسافت، در حال حاضر مهاجمان در حال سوءاستفاده از سه آسيب‌پذيري مي‌باشند. يک آسيب‌پذيري به طور عمومي افشاء شده است. بحراني‌ترين آسيب‌پذيري، MS14-029 نام دارد که بي‌شک ويندوز XP را نيز تحت تاثير قرار مي‌دهد. اين آسيب‌پذيري به طور گسترده مورد سوءاستفاده قرار مي‌گيرد اما مايکروسافت ويندوز XP را به حال خود رها کرده است!

مايکروسافت وصله‌هاي منتشر شده جديد را به شرح زير توصيف کرده است:

MS14-029: اين وصله، يک به‌روز رساني امنيتي براي IE است که بحراني‌ترين آسيب‌پذيري در اصلاحيه‌هاي اخير مايکروسافت مي‌باشد. تمامي نسخه‌هاي IE روي تمامي نسخه‌هاي ويندوز نسبت به دو آسيب‌پذيري تخريب حافظه، آسيب‌پذيرند. اين آسيب‌پذيري مي‌تواند منجر به اجراي کد از راه‌دور شود.

MS14-022: تمامي نسخه‌هاي SharePoint Server از جمله نسخه 2007، 2010 و 2013، همچنين Office Web Apps ،SharePoint Designer و SharePoint Server 2013 Client Components SDK نسبت به آسيب‌پذيري اجراي کد از راه‌دور آسيب‌پذير مي‌باشند. آسيب‌پذيري اسکريپت بين سايتي تنها SharePoint Server 2013، Office Web Apps 2013 و SharePoint Server 2013 Client Components SDK را تحت تاثير قرار مي‌دهد. يک آسيب‌پذيري مهم اجراي کد از راه دور تنها Office Web Apps 2010 را تحت تاثير قرار داده است.

MS14-024: يک وصله براي رفع آسيب‌پذيري در Microsoft Common Control است. اين آسيب‌پذيري مي‌تواند اجازه دور زدن ويژگي‌هاي امنيتي را بدهد. يک آسيب‌پذيري در کتابخانه کنترل‌هاي رايج MSCOMCTL مي‌تواند به يک وب‌سايت مخرب اجازه دهد تا ASLR را دور زند. اين آسيب‌پذيري در تمامي نسخه‌هاي Office وجود دارد و احتمال دارد که از طريق IE نيز بتواند مورد سوءاستفاده واقع شود. مايکروسافت تاکيد کرده است که Office 2003 نيز تحت تاثير اين آسيب‌پذيري قرار دارد اما شرکت مايکروسافت به علت پايان يافتن دوره پشتيباني، اصلاحيه‌اي براي آن منتشر نکرده است.

MS14-023: يک آسيب‌پذيري‌ جزئي در Office را رفع مي‌کند که مي‌تواند منجر به اجراي کد از راه دور شود.

MS14-025: اين وصله مربوط به يک آسيب‌پذيري‌ در Group Policy Preferences است. اين آسيب‌پذيري راه را براي تغيير سطوح دسترسي متجاوزان به ويندوز باز گذاشته و منجر به افزايش سطح دسترسي آنان به منابع رايانه مي‌شود.

MS14-026: اين وصله، يک آسيب‌پذيري در چارچوب کاري .NET را رفع مي‌کند. اين آسيب‌پذيري نيز مي‌تواند منتهي به افزايش سطح دسترسي توسط بدافزارها يا نفوذگران شود.

MS14-027: تمامي نسخه‌هاي ويندوز داراي آسيب‌پذيري افزايش سطح دسترسي مي‌باشند. يک مهاجم مي‌تواند کدي را در Local System اجرا نمايد. اين وصله مانع از اجراي اين نوع کدهاي مخرب در تمامي نسخه‌هاي ويندوز به استثناي XP مي‌شود.

MS14-028: آسيب‌پذيري در Windows Shell Handler مي‌تواند اجازه افزايش سطح دسترسي بدهد. اين آسيب‌پذيري در نسخه‌هاي سرور ويندوز، نسبت به دو آسيب‌پذيري انکار سرويس در مسيري که ويندوز بسته‌هاي iSCSI را مديريت مي‌کند، آسيب‌پذير هستند.

در کنار اين به‌روز رساني‌هاي امنيتي، مايکروسافت چندين به‌روز رساني غيربحراني و غيرامنيتي ديگر را براي ارتقاي راندمان نسخه‌هاي مختلف ويندوز و Office منتشر کرده است اما هيچ يک از به‌روزرساني‌ها به XP يا Office 2003 تعلـق نگرفته است. نزديک به 5 سال است که مايکـروسافت به طور دائم از کاربران محصولات قديمي خود تقاضـا مي‌کنـد که ديگـر از XP و Office 2003 استفاده نکنند اما همچنان تعداد کاربران اين محصولات قديمي، قابل توجه است. بر اين اساس مي‌توان گفت، خودداري مايکروسافت از انتشار به‌روزرساني براي اين محصولات، نوعي اقدام جبري از سوي مايکروسافت براي کوچ کاربران از اين محصولات است.