مایکروسافت چند آسیب‌پذیری را در Outlook وصله کرد

مایکروسافت چند آسیب‌پذیری را در Outlook وصله کرد

مایکروسافت چند آسیب‌پذیری را در Outlook وصله کرد

شرکت مایکروسافت اخیراً طی وصله‌هایی، چند آسیب‌پذیری Outlook را برطرف کرده است. این برنامه جزئی از مجموعه نرم‌افزار آفیس و برای ساماندهی ایمیل  هاست. مایکروسافت اعلام کرده هیچ یک از این آسیب‌پذیری‌ها به‌طور عمومی افشاء نشده و در دنیای واقعی نیز مورد بهره‌برداری قرار نگرفته است. این آسیب‌پذیری‌ها مربوط به فناوری مجازی است که «کلیک برای اجرا» Click-to-Run (C2R) نام داشته و توسط مایکروسافت برای نصب محصولات آفیس مورد استفاده قرار می‌گیرد.

یکی از این آسیب‌پذیری‌ها توسط گروه امنیتی مایکروسافت کشف شده و به آن شناسه‌ی CVE-۲۰۱۷-۸۶۶۳ اختصاص داده شده است. این آسیب‌پذیری یک اشکال خرابی حافظه است که برای حملات اجرای کد از راه دور مورد بهره‌برداری قرار می‌گیرد. این آسیب‌پذیری با ارسال یک پرونده‌ی جعلی از طریق رایانامه به کاربر در برنامه‌ی Outlook می‌تواند بهره‌برداری شود.

مایکروسافت در مشاوره‌نامه‌ی خود نوشته است: «یک مهاجم که با موفقیت از این آسیب‌پذیری بهره‌برداری کرده است می‌تواند کنترل کامل سامانه‌ی آسیب‌پذیر را در دست بگیرد. مهاجم در ادامه می‌تواند برنامه‌هایی را نصب کرده، داده‌ها را مشاهده، ویرایش و یا حذف کند. او همچنین می‌تواند یک حساب کاربری جدید با تمامی دسترسی‌ها را ایجاد کند.»

مایکروسافت چند آسیب‌پذیری را در Outlook وصله کرد

آسیب‌پذیری های افشاء اطلاعات

یکی دیگر از آسیب‌پذیری‌ها که می‌تواند برای اجرای کدهای دلخواه مورد بهره‌برداری قرار بگیرد دارای شناسه‌ی CVE-۲۰۱۷-۸۵۷۱ است. این یک اشکالِ دور زدن ویژگی‌های امنیتی است که از بررسی نامناسب ورودی‌ها توسط Outlook ناشی می‌شود. مهاجم می‌تواند با تحریک کاربر به باز کردن یک سند آلوده و جعلی و تعامل با آن، از این نقص امنیتی بهره‌برداری کند.

آسیب‌پذیری سوم دارای شناسه‌ی CVE-۲۰۱۷-۸۵۷۲ بوده و یک اشکال افشای اطلاعات است. این اشکال به این دلیل وجود دارد که آفیس به‌طور نامناسبی محتویات و داده‌های حافظه را افشاء می‌کند. مهاجمی که آدرس حافظه‌ی شیء مورد نظر خود را می‌داند با تحریک قربانی به باز کردن یک پرونده‌ی جعلی اطلاعات بیشتری بدست آورده و به سامانه‌ی هدف دسترسی پیدا کند. محققانی از فیس‌بوک و NCC برای گزارش این آسیب‌پذیری از مایکروسافت جایزه دریافت کردند.

مایکروسافت اعلام کرده در این وصله‌ها تعدادی از آسیب‌پذیری‌های موجود در به‌روزرسانی ماه جولای نیز گنجانده شده است. وصله‌های مربوط به Outlook در به‌روزرسانی‌های جولای منتشر شده بود که با گزارش برخی کاربران در خصوص فروپاشی سامانه‌ها، مایکروسافت مجبور شد تا آن‌ها را مجدداً ارسال کند. مایکروسافت می‌گوید از ۸ آسیب‌پذیری که شناسایی شده بود، ۶ مورد وصله شده و ۲ مورد دیگر در حال بررسی است.

منبع :

www.news.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *