IRCERT - اصلاحیه مایکروسافت برای دو حفره جدید

صفحه اول > اخبار و هشدارها

اصلاحیه مایکروسافت برای دو حفره جدید

8 ژوئن – 19 خرداد

امروز شرکت مایکروسافت دو اصلاحیه امنیتی جدید را برای پوشاندن دو حفره امنیتی ارائه کرد. یکی از این دو حفره در بخش بازی کردن آنلاین و دیگری در یک برنامه طرف سوم قرار دارد که مایکروسافت از هر دو امکان در برنامه های مختلف خود استفاده کرده است.

شبکه بازی DirectPlay در DirectX این امکان را برای کاربران فراهم می آورد تا برای خود روی شبکه اینترنت همبازی پیدا کنند. اما به علت یک مشکل امنیتی در این بخش ،‌ یک هکر می تواند ارتباط را قطع کند و باعث اختلال در اجرای بازی شود. اصلاحیه اول ارائه شده این مشکل را مرتفع می کند.

از طرف دیگر مایکروسافت از محصولی به نام Crystal Reports Web Viewer در بسیاری از محصولات اصلی خود همانند Visual Studio .Net 2003 ،

Outlook 2003 with Business Contact Manager وMicrosoft Business Solutions CRM 1.2 استفاده می کند. حفره موجود در این حفره به یک هکر اجازه می دهد تا یک حمله DoS انجام دهد یا به اطلاعات موجود روی کامپیوتر دسترسی پیدا کند. مایکروسافت درجه خطر این دو حفره را moderate اعلام کرده که از کمترین سطح خطر یک درجه بالاتر است.

استفان تولوز – یکی از مدیران امنیتی مایکروسافت – می گوید :‌" با وجودی که مشکل در نرم افزاری وجود دارد که ما ننوشته ایم اما مایکروسافت آن را به کار گرفته و عرضه کرده است پس ما مشکل آن را رفع می کنیم."

دو حفره امنیتی یاد شده نمی تواند توسط هکرها برای به دست گرفتن کنترل کامپیوترها مورد استفاده قرار گیرد، لذا نمی تواند توسط یک نویسنده ویروس به کار گرفته شود و ویروسی مانند ساسر منتشر شود.

مشکل امنیتی موجود در شبکه بازی ، تنها بازی هایی را تحت تاثیر قرار می دهد که از سیستم بازی رایگان peer-to-peer مایکروسافت استفاده می کنند و بازیهای مشهوری مانند Quake و Unreal Tournamentکه از معماری کارگزار/مشتری استفاده می کنند با مشکلی روبرو نمی شوند. این مشکل در نسخه های ویندوز 98 ، 98 SE ،‌ ME ،‌ 2000 ، XP ، XP 64 بیتی و 2003 سرور وجود دارد و باعث می شود تا بازی اصطلاحا crash کند یا واسط کاربر آن پاسخگو نباشد.

اما Crystal Reports Web Viewer به کاربران اجازه می دهد تا اسناد ایجاد شده با
Business Objects' Crystal Reports را مورد بازبینی و تغییر قرار دهند. حفره موجود در آن به هکر اجازه می دهد تا فایلهای سیستم قربانی را تغییر دهد یا حذف کند.

با ارائه این دو اصلاحیه ،‌تعداد اصلاحیه های صادر شده در سال 2004 به 17 عدد رسیده است.