حزمة Microsoft Patch Tuesday لهذا الشهر كبيرة: 74 ثغرة موثقة في العديد من منتجات ومكونات Windows ، بعضها خطير بما يكفي ليؤدي إلى هجمات تنفيذ التعليمات البرمجية عن بُعد.
حذرت شركة البرمجيات العملاقة في ريدموند ، واشنطن من أن كود الاستغلال متاح للجمهور لثلاثة من الثغرات الأمنية المصححة - أخطاء تنفيذ التعليمات البرمجية عن بعد في Remote Desktop Client و .NET و Visual Studio ، وخطأ تصعيد الامتياز في خدمة الفاكس والمسح الضوئي لـ Windows .
"في حالة الاتصال بسطح المكتب البعيد ، يمكن للمهاجم الذي يتحكم في خادم سطح المكتب البعيد تشغيل تنفيذ التعليمات البرمجية عن بُعد (RCE) على جهاز عميل RDP عندما تتصل الضحية بالخادم المهاجم باستخدام عميل سطح المكتب البعيد الضعيف ،" Microsoft وأوضح في "هام" استشاري.
تحتوي مجموعة التصحيح لشهر مارس على إصلاحات لثلاث مشكلات تم تصنيفها على أنها "حرجة" ، وهي أعلى تصنيف خطورة لشركة Microsoft. تتضمن هذه الثغرات الأمنية الخاصة بتنفيذ التعليمات البرمجية عن بُعد في Microsoft Exchange Server وامتدادات الفيديو HEVC و VP0.
وقالت مايكروسوفت إنه ليس لديها دليل على أن أيًا من الثغرات الأمنية تم استغلالها في البرية مثل يوم الصفر.
[ سابقا: يوم الثلاثاء التصحيح: Windows Flaw Under Active Attack ]
تستدعي متتبعات الثغرات الأمنية في مبادرة Zero Day Initiative اهتمامًا خاصًا لعيب خادم Microsoft Exchange - CVE-2022-23277 - باعتباره عيبًا يحتاج إلى اختباره ونشره على وجه السرعة.
"تسمح الثغرة الأمنية في [Exchange Server] للمهاجم المصادق عليه بتنفيذ التعليمات البرمجية الخاصة به بامتيازات مرتفعة من خلال مكالمة شبكة. يُدرج هذا أيضًا على أنه تعقيد منخفض مع احتمال الاستغلال ، لذلك لن يفاجئني رؤية هذا الخطأ يتم استغلاله في البرية قريبًا - على الرغم من متطلبات المصادقة. اختبر ذلك وانشره على خوادم Exchange الخاصة بك بسرعة " حث ZDI في وظيفة بلوق.
تغطي تصحيحات Microsoft أيضًا تنفيذ العديد من التعليمات البرمجية ورفض الخدمة ورفع مشكلات الامتيازات في Azure Site Recovery وأخطاء إضافية في Microsoft Defender و Microsoft Office و Windows Event Tracing.
تم إصدار تصحيحات Microsoft بعد ساعات من طرح شركة Adobe لتحديثات أمنية عاجلة لمعالجة الثغرات الأمنية في تنفيذ التعليمات البرمجية في Illustrator ومنتجات After Effects.
تغطي تصحيحات Adobe التنفيذ التعسفي للتعليمات البرمجية ونقاط الضعف في تسريب الذاكرة التي قد تعرض البيانات لهجمات القراصنة الضارة.
[ اقرأ: تدعو Microsoft الانتباه إلى خلل أمان Windows "القابل للدور" ]
تمت معالجة أخطر الثغرات الأمنية في Adobe Illustrator ، وهو برنامج تصميم الرسومات المتجه الشائع المتاح لكل من أنظمة macOS و Windows.
في استشاري، صنفت Adobe عيب Illustrator على أنه "حرج" مع درجة أساسية لـ CVSS تبلغ 7.8. وصفت الشركة خطأ CVE-2022-23187 بأنه تجاوز سعة المخزن المؤقت الذي يؤثر على الإصدار 2022 من Illustrator 26.0.3 (والإصدارات السابقة) على كل من أجهزة WIndows و macOS.
تحث Adobe المستخدمين بشدة على الترقية إلى الإصدار 2022 من Illustrator 26.1.0.
أصدرت Adobe ومقرها سان خوسيه ، كاليفورنيا أيضًا تنبيه منفصل للتحذير من أربعة عيوب خطيرة على الأقل تطارد مستخدمي After Effects ، وهو منتج برمجي شائع آخر يستخدم في المشاريع الإبداعية للرسوم المتحركة.
توصف مجموعة الأخطاء الرباعية بأنها تدفقات المخزن المؤقت القائمة على المكدس والتي يمكن أن تسمح بهجمات الاستيلاء على الكمبيوتر.
هذا الموضوع ذو علاقة بـ: مايكروسوفت باتش الثلاثاء: خلل في الويندوز تحت الهجوم النشط
هذا الموضوع ذو علاقة بـ: ضرب Microsoft Office Zero-Day في الهجمات المستهدفة
هذا الموضوع ذو علاقة بـ: Adobe ينضم إلى تصحيح الأمان الثلاثاء الهيجان
هذا الموضوع ذو علاقة بـ: Adobe تحذر من عيوب خطيرة في Magento ، Connect
هذا الموضوع ذو علاقة بـ: هل Microsoft Botch هو تصحيح PrintNightmare؟
رايان نارين محرر متجول في SecurityWeek ومضيف البرنامج الشهير المحادثات الأمنية تسلسل المنتج. وهو صحفي واستراتيجي للأمن السيبراني يتمتع بخبرة تزيد عن 20 عامًا في تغطية اتجاهات تكنولوجيا المعلومات وأمنها.
أنشأ رايان برامج المشاركة الأمنية في العلامات التجارية العالمية الكبرى ، بما في ذلك Intel Corp. و Bishop Fox و Kaspersky GReAT. وهو أحد مؤسسي Threatpost وسلسلة مؤتمرات SAS العالمية. تشمل مهنة ريان كصحفي خطوطًا ثانوية في منشورات التكنولوجيا الرئيسية بما في ذلك Ziff Davis eWEEK و ZDNet من CBS Interactive و PCMag و PC World.
رايان هو مدير منظمة Security Tinkerers غير الربحية ، ومتحدث منتظم في المؤتمرات الأمنية حول العالم.
تابع رايان على تويتر تضمين التغريدة.
الوسوم (تاج):
