Patch الثلاثاء: الأمان في Focus as Microsoft ، Oracle Patch Bugs

إنها الأم لجميع أيام التصحيح لمحلات تكنولوجيا المعلومات في الشركات ، مع كل من مايكروسوفت وأوراكل إطلاق تحديثات البرامج الهامة الثلاثاء.

ركلت مايكروسوفت الأشياء صباح الثلاثاء مع 11 تحديثات أمنية ، بما في ذلك إصلاحات لأخطاء أمنية حرجة في Windows Active Directory ، Internet Explorer ، Excel و Microsoft Host Integration Server ، الذي يدمج أجهزة الكمبيوتر التي تعمل بنظام Windows مع IBM mainframes.

يقول خبراء الأمن إن تحديث Internet Explorer ، الذي يعمل على إصلاح ستة أخطاء في المستعرض ، هو الذي يشاهده. وذلك نظرًا لتصنيفها لمستخدمي Internet Explorer 6 الذين يستخدمون نظام التشغيل Windows XP - وهو تكوين شائع جدًا في المؤسسة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك]

ولكن العملاء الذين يستخدمون Windows Active يجب على الدليل على أجهزة Windows 2000 الأقدم نقل تحديث Active Directory MS08-060 إلى أعلى قائمة انتظار التصحيح ، حسب Don Leatham ، مدير الحلول والإستراتيجية في Lumension Security. ولأنه يمكن استخدام خادم Active Directory لتعيين الأذونات على الأجهزة الأخرى وإدارة المستخدمين على الشبكة ، فإن الاستيلاء على هذا الجهاز "سيكون الكأس المقدسة لشخص يحاول الدخول إلى شركة ويعطلها تمامًا". > عادةً ، يتم حظر خوادم Active Directory في جدار الحماية ، مما يعني أنه من المحتمل أن يكون المهاجم على شبكة داخلية لشن هجوم ، كما قال إريك شولتز ، رئيس قسم التكنولوجيا بشركة Shavlik Technologies. لكن الخطأ "يعني أن أي مستخدم داخلي ساخط يمكنه التحكم بشكل كامل في مجالات Windows 2000 ووحدات التحكم بالمجال" ، كما قال عبر رسالة فورية.

ومع ذلك ، فإن تخفيف هذا القلق هو حقيقة أن Microsoft لم تكن لديها أي تقارير تفيد بأن تم استغلال الضعف في الهجوم. على الرغم من أنه من المحتمل أن يقوم أحد المهاجمين بتحطيم جهاز Windows 2000 باستغلال هذا الخطأ ، "يصعب إنشاء رمز استغلال فعال للاستفادة من تنفيذ التعليمات البرمجية عن بعد" ، حسبما ذكرت مايكروسوفت في مذكرة على موقعها على الإنترنت.

في المجموع ، 20 حشرة أمنية تم إصلاحها في التحديثات 11 من Microsoft. كان هناك أيضًا ستة تحديثات أقل أهمية ، تم تقييمها على أنها "مهمة" من قِبل Microsoft ، لمكونات Windows المختلفة ، وتصحيح "معتدل" يعمل على إصلاح خطأ قد يسمح لمهاجم بجمع معلومات من مستخدم Office.

تحديثات أمان Oracle من المتوقع في تمام الساعة 1 بعد الظهر سيشمل وقت المحيط الهادئ إصلاحات لـ 36 حشرة في مجموعة من منتجات أوراكل ، بما في ذلك قاعدة البيانات الرئيسية للشركة وخادم التطبيقات و E-Business Suite وخادم WebLogic وأدوات التطوير. كما تم التخطيط لإصلاح الأخطاء في منتجات JD Edwards و PeopleSoft للشركة.

من غير المعتاد أن تقوم شركة Microsoft وأوراكل بدفع الرقع في نفس اليوم. تصدر تحديثات أمان Microsoft يوم الثلاثاء الثاني من كل شهر ، ويُعرف باسم Patch الثلاثاء في المجال. لكن رقع أوراكل هي قضية فصلية ، يتم تسليمها في الثلاثاء الأقرب في منتصف الشهر. عادة ، هذا يضع تصحيحات Oracle على الثلاثاء الثالث من الشهر ، لكن هذا الشهر ، تقاربت تواريخ إصدار Microsoft وأوراكل.

جاءت تحديثات Microsoft الثلاثاء مع معلومات أكثر بقليل لعملاء الشركة أيضًا. وقد تضمنت قسمًا جديدًا يسمى "مؤشر الاستغلال" ، صمم ليجعل من السهل على مستخدمي ويندوز اكتشاف الأخطاء التي من المرجح أن يستغلها المتسللون.

صنفت مايكروسوفت الآن جميع تحديثاتها الأمنية بالأوصاف التالية: "الاستغلال المتسق للمدونة على الأرجح" ، أو "مخالفات الاستغلال غير المقصود" أو "العمل استغلال القانون غير محتمل".

قالت الشركة أن استغلال البرمجية من المحتمل أن يكون الخلل في تحديثات Internet Explorer و Microsoft Host Integration Server و Excel الهامة. وقد تم الكشف عن أحد الأخطاء البرمجية لـ Internet Explorer ، والتي قد تسمح لمهاجم بامتيازات مرتفعة على جهاز يعمل بنظام تشغيل Windows ، علنًا ، ولكن لا يُعتقد أنه تم استخدامه في هجمات واقعية ، حسبما قالت مايكروسوفت.آخر أولاً: أعطت شركة Microsoft بعض شركاء الأمان حق الوصول المبكر إلى تحديثاتها هذا الشهر حتى يتمكنوا من تسجيل كشف الهجوم في برامجهم كما تم إصدار البقع الثلاثاء.