شرکت مایکروسافت روز سهشنبه ۱۸ آبان ماه، طبق
برنامه ماهانه خود، اقدام به انتشار اصلاحیههای امنیتی جدید برای ماه
میلادی نوامبر کرد.
این ماه، فقط ۳ اصلاحیه برای ترمیم ۱۱ نقطه ضعف امنیتی منتشر شده است که
تنها یک اصلاحیه دارای درجه اهمیت “حیاتی” و دو اصلاحیه دیگر، دارای درجه
اهمیت “مهم” هستند. اصلاحیه های این ماه شماره های MS10-087 تا MS10-089
هستند.
بنا بر گزارش روابط عمومی شرکت مهندسی شبکه گستر، اصلاحیه حیاتی
MS10-087 پنج نقطه ضعف را در نرمافزار Office اصلاح و ترمیم میکند. این
اصلاحیه برای نسخههای XP، ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ نرمافزار Office است.
اصلیترین نقطه ضعفی که توسط این اصلاحیه ترمیم میشود، مربوط به نحوه
پردازش فایل های RTF یا Rich Text Format در نرمافزار Outlook که بخشی از
نرم افزار Office است، میشود.
تنها کافی است که یک فایل دستکاری شده و مخرب از نوع RTF در نرم افزار
Outlook به نمایش درآید تا امکان سوءاستفاده از نقطه ضعف مورد نظر فراهم
شود. فایلهای RTF مانند فایلهای Adobe PDF کاربرد زیادی داشته و اغلب
ابزارهای امنیتی مانند دیواره آتش، به راحتی اجازه عبور به این نوع فایلها
را میدهند.
اصلاحیه MS10-087 نقطه ضعف مشهور DLL Load Hijacking را نیز در نرم
افزار Office، نسخههای ۲۰۰۷ و ۲۰۱۰ برطرف میکند. این نقطه ضعف که ناشی از
ضعف برنامهنویسی است، امکان جایگزین کردن فایلهای مخرب DLL را به جای
فایلهای سالم و واقعی همنام، فراهم میکند. این اولین قدم شرکت مایکروسافت
در ترمیم نقطه ضعف فایلهای DLL است و تاکنون نیز از افشاء نام
نرمافزارهای آسیبپذیر خود، خودداری کرده است.
اصلاحیه مهم MS10-088 نیز دو نقطه ضعف را در نرمافزار PowerPoint که
در بستههای Office XP و Office 2003 وجود دارد، اصلاح و ترمیم میکند.
اصلاحیه سوم MS10-089 نیز برای ترمیم چهار نقطه ضعف در بخش UAG یا
Forefront Unified Access Gateway است. UAG فناوری VPN مایکروسافت است که
چند سال قبل با خرید شرکت Whale Communication به سیستم عامل Windows اضافه
شده است.
نکته جالب درباره این اصلاحیه، نحوه اتتشار آن است که بر خلاف تمام
اصلاحیههای امنیتی مایکروسافت، از طریق سیستم بهروز رسانی خودکار Windows
Update و یا سرویس WSUS ارائه نمیشود. دریافت اصلاحیه MS10-089 باید
بصورت دستی از سایت مایکروسافت انجام شود و به نظر میرسد شرکت مایکروسافت
فرصت کافی برای آزمایش و اطمینان از نحوه انتشار خودکار این اصلاحیه نداشته
است.
بنا بر اعلام شرکت مایکروسافت، در حال حاضر بهروز رسانی بخش UAG از
طریق سرویسهای به روز رسانی خودکار Windows امکانپذیر نبوده و در آینده
این قابلیت به آن اضافه خواهد شد.