به‌روزرسانی مایکروسافت برای آسیب‌پذیری مهم ویندوز و ویژوال استودیو

اقتصاد۲۴ - دو نقص فنی جدید از نوع RCE که به مهاجمان اجازه‌ی اجرای کدها از راه‌دور (Remote Code Execution) می‌دهند، در کتابخانه‌ی کدک‌های ویندوز (Windows Codecs Library) و ویرایشگر متنی ویژوال استودیو کد مایکروسافت (Visual Studio Code) کشف شدند و مایکروسافت را وادار به ارائه‌ی وصله‌ی امنیتی اضطراری کردند.

مایکروسافت روز گذشته دو به‌روزرسانی امنیتی خارج از نوبت به‌منظور رفع آسیب‌پذیری‌های موجود در کتابخانه‌ی کدک‌های ویندوز و اپلیکیشن ویژوال استودیو کد منتشر کرد. دو به‌روزرسانی با فاصله‌ی اندکی بعد از انتشار وصله‌ی امنیتی ماهانه‌ی مایکروسافت در هفته‌ی گذشته منتشر شد. وصله‌ی امنیتی مایکروسافت برای این ماه ۸۷ آسیب‌پذیری را مرتفع می‌کرد؛ اما این دو نقص فنی را شامل نمی‌شد.

آسیب‌پذیری کتابخانه‌ی کدک‌های ویندوز با شناسه‌ی CVE-2020-17022 معرفی شده است. مایکروسافت می‌گوید مهاجمان ازطریق این آسیب‌پذیری توانایی لازم برای ایجاد ایمیج‌های آلوده را دارند تا زمانی‌که ازطریق یک اپلیکیشن روی ویندوز اجرا شوند، کدهای مد نظر خود را روی سیستم‌عامل ویندوز به‌روزنشده، اجرا کنند. این آسیب‌پذیری ظاهرا در تمام نسخه‌های ویندوز ۱۰ شناسایی شده است. مایکروسافت اعلام کرد با توجه‌ به اهمیت بالای این نقص فنی، به‌روزرسانی مخصوص Library به‌صورت خودکار و ازطریق Microsoft Store روی سیستم‌های کاربران نصب خواهد شد.

 خبر خوش درباره‌ی آسیب‌پذیری این است که فقط کاربرانی که کدک‌های ویدئویی اختیاری HEVC یا کدگذاری ویدیویی پربازده (High Efficiency Video Coding) را از مایکروسافت استور نصب کردند، در معرض خطر حمله قرار دارند.

بیشتر بخوانید:بنچمارک آیفون ۱۲ و آیفون ۱۲ پرو در وبسایت AnTuTu منتشر شد

کدک‌های HEVC به‌صورت آفلاین دردسترس نیستند و فقط ازطریق مایکروسافت استور می‌توان آن‌ها را نصب کرد. کتابخانه‌ی مدنظر روی ویندوز سرور پشتیبانی نمی‌شود؛ بنابراین در این باره برای کاربران این پلتفرم نگرانی وجود ندارد.

کاربران برای اطمینان حاصل ‌کردن از اینکه از کدک‌های آسیب‌پذیر HEVC استفاده نمی‌کنند، می‌توانند وارد بخش Settings, Apps & Features شوند و با انتخاب گزینه‌ی HEVC, Advanced Optoins نسخه‌ی نصب‌شده را بررسی کنند. نسخه‌های ایمن این کدک شامل 1.0.32762.0 و 1.0.32763.0 و نسخه‌های بعدی می‌شوند.

آسیب‌پذیری مربوط به ویرایشگر متنی ویژوال استودیو کد با شناسه‌ی CVE-2020-17023 معرفی شده است. بنابر گفته‌ی مایکروسافت، مهاجمان قادر خواهند بود با استفاده از این آسیب‌پذیری فایل‌های package.json ایجاد کنند که در اپلیکیشن ویژوال استودیو کد بارگذاری شود و برای آن‌ها امکان اجرای کدهای مخرب را فراهم کند.

طبق مجوزهایی که کاربر به نرم‌افزارهای مختلف داده است، مهاجم می‌تواند کدها را با دسترسی‌های Adminstrator اجرا کند و به‌طور کامل روی سیستم قربانی تسلط داشته باشد.
فایل‌های pakage.json غالبا به‌وسیله‌ی کتابخانه‌ها و پروژه‌های جاوا اسکریپت مورد استفاده قرار می‌گیرند. ازآنجاکه جاوا اسکریپت و به‌خصوص فناوری Node.js در سمت سرور، از فناوری‌های محبوب به‌شمار می‌روند، کاربران زیادی ممکن است در معرض خطر امنیتی قرار داشته باشند. بنابراین به کاربران ویژوال استودیو کد توصیه‌ی اکید شده است تا در سریع‌ترین زمان ممکن، به‌روزرسانی‌ها را انجام دهند و آخرین نسخه را نصب کنند.