أطلقت Microsoft اليوم تحديثًا تراكميًا جديدًا لنظام التشغيل Windows 10 ، حيث أصدرت تحديثات لـ التصحيح الثلاثاء نوفمبر 2015. بالنسبة لهذا الإصدار ، أصدرت Microsoft 12 نشرة أمنية ، تم تصنيف أربعة منها على أنها حرجة والنشرات الثمانية المتبقية مهمة.
كما هو الحال دائمًا ، يأتي التحديث التراكمي الأخير مع "تحسينات وظيفية ويحل نقاط الضعف"في نظام التشغيل Windows 10. فيما يلي جميع التصحيحات التي تم إصدارها لمستخدمي Windows 10 كجزء من Patch Tuesday November 2015 وتفسيراتهم:
- 3105256 MS15-122: تحديث أمني لـ Kerberos لمعالجة تجاوز ميزة الأمان
MS15-122 تصحيحات Kerberos لحل تجاوز ميزة الأمان. لاحظت Microsoft ، "يمكن للمهاجم تجاوز مصادقة Kerberos على جهاز مستهدف وفك تشفير محركات الأقراص المحمية بواسطة BitLocker. يمكن استغلال التجاوز فقط إذا تم تمكين BitLocker في النظام المستهدف بدون رمز PIN أو مفتاح USB ، وكان الكمبيوتر مرتبطًا بالمجال ، ولدى المهاجم وصول مادي إلى الكمبيوتر. "
- 3104521 MS15-119: تحديث الأمان في TDX.sys لمعالجة رفع الامتياز
يعالج MS15-119 ثغرة في Winsock عبر كافة إصدارات Windows المدعومة. أضافت Microsoft ، "قد تسمح الثغرة الأمنية برفع الامتياز إذا قام المهاجم بتسجيل الدخول إلى نظام مستهدف وتشغيل تعليمات برمجية مصممة خصيصًا لاستغلال الثغرة الأمنية."
- 3104507 MS15-118: تحديثات الأمان في .الإطار الصافي لمعالجة رفع الامتياز
يحل MS15-118 ثلاث ثغرات أمنية في إطار عمل Microsoft .NET. أشار Kandek إلى أن الشخص يسمح للمهاجم "بتنفيذ التعليمات البرمجية أثناء تصفح المستخدم لموقع الويب (Cross Site Scripting). غالبًا ما يمكن استخدام نقاط الضعف هذه لسرقة معلومات جلسة المستخدم وانتحال شخصية المستخدم ؛ اعتمادًا على التطبيق ، قد يكون هذا مهمًا جدًا ".
- 3105864 MS15-115: تحديث أمني لنظام التشغيل Windows لمعالجة تنفيذ التعليمات البرمجية عن بُعد
MS15-115 يعالج الثغرات في Microsoft Windows ؛ أسوأها هما في ذاكرة رسومات Windows التي يمكن للمهاجم استغلالها لتنفيذ التعليمات البرمجية عن بُعد. بالإضافة إلى ذلك ، يقوم هذا بتصحيح اثنين من أخطاء ذاكرة Windows kernel التي يمكن أن تؤدي إلى رفع الامتياز ، وهما نواة أخرى الأخطاء التي قد تسمح بالكشف عن المعلومات وخطأ آخر في Windows kernel قد يسمح بميزة الأمان تجاوز.
- 3104519 MS15-113: التحديث الأمني التراكمي لبرنامج Microsoft Edge
MS15-113 هو التحديث الأمني التراكمي لمتصفح Edge الأحدث من Microsoft ، حيث يقوم بتصحيح أربع ثغرات أمنية مختلفة ، وقد يسمح أخطرها بتنفيذ التعليمات البرمجية عن بُعد. لاحظت Microsoft أن هذا التصحيح الجديد لأنظمة Windows 10 32 بت و 64 بت يحل محل MS15-107 ، التحديث الأمني التراكمي لـ Edge الصادر في أكتوبر.
- 3104517 MS15-112: التحديث الأمني التراكمي لبرنامج Internet Explorer
MS15-112 هو الإصلاح التراكمي لأخطاء تنفيذ التعليمات البرمجية عن بُعد في Internet Explorer. تسرد Microsoft 25 من CVEs ، معظمها عبارة عن ثغرات أمنية لتلف ذاكرة IE 19 تسمى ثغرات فساد الذاكرة في Internet Explorer ، مع تصنيف ثلاث من CVEs مختلفة قليلاً على أنها ثغرات أمنية لتلف ذاكرة متصفح Microsoft. من بين CVEs المتبقية ، يتضمن أحدهما تجاوز ASLR لمتصفح Microsoft ، والآخر لعيب الكشف عن معلومات IE ، والآخر هو ثغرة أمنية لتلف ذاكرة محرك البرمجة النصية. يجب عليك نشر هذا في أقرب وقت ممكن
كما نرى ، فإن هذه التحديثات خطيرة للغاية ، لأنها تتناول بعض المنتجات المهمة ، مثل .NET Framework ومتصفحي Microsoft Edge و Internet Explorer. علاوة على ذلك ، أصدرت Microsoft Security Advisory أيضًا تحديثًا لـ هايبر- V لمعالجة ضعف وحدة المعالجة المركزية.
هذا التحديث التراكمي هو مجرد تحديث أمني وعلى الرغم من أنه لا يجلب أي ميزات جديدة ، إلا أنه الأكثر شيوعًا من المحتمل أن يصلح عددًا قليلاً من الأخطاء ومواطن الخلل المزعجة لمستخدمي Windows 10 الذين تأثروا. فيما يلي بعض التحديثات الأخرى التي تم إصدارها يوم الثلاثاء من التصحيح هذا:
- MS15-114 – يحل ثغرة أمنية في Windows ، وتحديداً Windows Journal ، والتي قد تسمح بتنفيذ التعليمات البرمجية عن بُعد. تم تصنيف هذا التصحيح على أنه ضروري لجميع الإصدارات المدعومة من Windows Vista و Windows 7 ، ولجميع الإصدارات المدعومة بخلاف Itanium من Windows Server 2008 و Windows Server 2008 R2.
- MS15-116 يعالج الأخطاء والمشكلات في Microsoft Office ، وفقًا لشبكة Network World ، التي استشهدت بـ Qualys CTO Wolfgang Kandek:
يمكن استخدام خمسة من الثغرات الأمنية للسيطرة على حساب المستخدم الذي يفتح المستند الضار ، فهي توفر RCE. يعد هذا تحكمًا كافيًا في الجهاز لعدد من الهجمات ، مثل Ransomware على سبيل المثال. ومع ذلك ، يمكن للمهاجم إقرانها بثغرة أمنية محلية في Windows kernel للحصول على حل وسط كامل للجهاز ، مما يسمح بالتحكم الكامل وتثبيت العديد من الأبواب الخلفية.
- MS15-117 يوفر إصلاحًا لخلل في Microsoft Windows NDIS لمنع المهاجم من استغلال الخطأ والحصول على امتياز
- MS15-120 يحل مشكلة رفض الخدمة في Windows IPSEC
- MS15-121 يعمل على إصلاح عيب في Windows Schannel "قد يسمح بالانتحال إذا قام المهاجم بتنفيذ هجوم man-in-the-middle (MiTM) بين عميل وخادم شرعي. تم تصنيف هذا التحديث الأمني على أنه مهم لجميع الإصدارات المدعومة من Microsoft Windows باستثناء Windows 10. "
- MS15-123 لكل من Skype for Business و Microsoft Lync لمعالجة الثغرة الأمنية التي "قد تسمح بالكشف عن المعلومات إذا كان أحد المهاجمين يدعو مستخدمًا مستهدفًا إلى جلسة رسائل فورية ثم يرسل إلى ذلك المستخدم رسالة تحتوي على JavaScript مُعد خصيصًا المحتوى."
أخبرنا من خلال ترك تعليقك أدناه إذا كان هذا التصحيح يوم الثلاثاء قد أصلح لك الأشياء ، أو ، كما يحدث في بعض الأحيان ، جلب تحديثات فاشلة بالفعل.
