مائیکرو سافٹ نے منگل کو اپریل کے پیچ میں اہم یعنی کیڑے ٹھیک کردیے ہیں

موسم بہار بخار والے ونڈوز ایڈمنسٹریٹر خوشی منا سکتے ہیں۔ مائیکروسافٹ نے اپنی پیچ منگل کی رہائی کے حصے کے طور پر صرف دو ہی اہم بلیٹن جاری کیے۔

اس ماہ جاری کیے گئے نو بلیٹن میں سے صرف دو کو اہم قرار دیا گیا ہے ، یعنی حملہ آور دور سے ہدف بنائے جانے والی مشین پر کنٹرول حاصل کرسکتا ہے۔ باقی تمام افراد کو اہم درجہ دیا جاتا ہے ، جو حملہ آور کو عام طور پر لینے سے پہلے کسی طرح کے نظام تک رسائی کی ضرورت ہوتی ہے۔ آخرکار ، مائیکرو سافٹ نے رواں ماہ سیکیورٹی کے 13 نقصانات پر توجہ دی۔

خوشخبری یہ ہے کہ زیادہ تر اثر میراثی کوڈ بیس پر پڑا ہے نہ کہ مائیکرو سافٹ کے مصنوعات کے تازہ ترین ورژن پر۔ انہوں نے کہا ، "اگر آپ کا سسٹم سافٹ ویئر کے جدید ترین اور عظیم ترین ورژن چل رہا ہے - جیسا کہ آپ کو ہمیشہ کرنا چاہئے ، کیونکہ عام طور پر جدید ترین سب سے زیادہ محفوظ ہوتا ہے - تو آپ کو اس مہینے پر کم سے کم اثر انداز ہونا چاہئے۔"

جیسے کہ اعلی ترجیح

اس مہینے میں سب سے زیادہ ترجیحی بلیٹن انٹرنیٹ ایکسپلورر (MS13-028) کے لئے اپ ڈیٹ ہے ، جو IE 6 سے IE 10 تک ویب براؤزر کے تمام معاون ورژن میں استعمال کے بعد آزاد مسئلے کو طے کرتی ہے ، جس کا استحصال کیا جائے تو اس کا نتیجہ ریموٹ ہوسکتا ہے۔ کوڈ پر عمل درآمد بلیٹن نے گہرائی کے مسئلے میں ایک دفاع کو بھی خطاب کیا جس کا انحصار جاوا 6.0 یا اس سے زیادہ عمر کے صارفین پر ہے۔

ہنری نے متنبہ کیا ، "جاوا کو حال ہی میں ان مسائل کی تعداد کے پیش نظر ، امید ہے کہ اب بھی کوئی جاوا کے پرانے ورژن نہیں چلا رہا ہے۔"

ترجیحی اشاریہ صرف 2 ہے ، جو اس بات کی نشاندہی کرتا ہے کہ استحصال پیچ پیچیدہ نہیں ہے لہذا مائیکروسافٹ کے پیچ منگل کے نوٹیفکیشن ایڈوائزری کے مطابق ، اگلے 30 دنوں میں مائیکروسافٹ کو کام کرنے کا استحصال دیکھنے کی توقع نہیں ہے۔

سی ٹی او مارک میفریٹ نے کہا ، "حملہ آور ان دو خطرات سے فائدہ اٹھانے کے بارے میں غور کریں گے ، کیونکہ حملہ آور صرف ایک دو جوڑے کے استعمال کے ذریعے انٹرنیٹ ایکسپلورر کے متعدد ورژن کو نشانہ بناسکتے ہیں ، لہذا اس پیچ کو جلد سے جلد تعینات کرنا ضروری ہے۔" پرے ٹرسٹ کی.

مائیکروسافٹ نے ابھی بھی وینکوور میں گزشتہ ماہ کینسیک ویسٹ کانفرنس میں Pwn2Own مقابلے کے دوران انکشاف صفر دن کے خطرے کو طے نہیں کیا ہے۔

دوبارہ ، خطرے میں ریموٹ ڈیسک ٹاپ

ہینری نے کہا ، دوسری ترجیح ریموٹ ڈیسک ٹاپ کلائنٹ سافٹ ویئر کے ایکٹو ایکس کنٹرول ، (ایم ایس 13-029) کے لئے پیچ کی ہونی چاہئے ، جو ونڈوز کے تمام ورژن کو متاثر کرتی ہے اور "اس مسئلے کی قسم نہیں ہے جسے ہم عام طور پر ونڈوز آر ڈی پی میں دیکھتے ہیں۔"

حملہ آور بدصورت ایکٹو ایکس کنٹرول کی میزبانی کرنے والی ویب سائٹوں پر جا کر متاثرین کو دھوکہ دے کر اس خطرے کا فائدہ اٹھا سکتے ہیں۔ جیسے ہی وزیٹر سائٹ پر آتا ہے ، ضابطہ غیر منطقی استحصال سے فائدہ اٹھاتا ہے تاکہ صوابدیدی کوڈ پر عمل درآمد کرنے کی صلاحیت حاصل ہوجائے جیسے صارف ہی ہو۔

"جبکہ ایکٹو ایکس کنٹرولز کو زیادہ تر ونڈوز پروگراموں میں شامل کیا جاسکتا ہے ، لیکن ممکنہ طور پر اٹیک ویکٹر ویب براؤزر کے ذریعہ ہوتا ہے ،" کوالیس کے سی ٹی او ولف گینگ کانڈیک نے کہا۔

"اہم" لیکن "تنقیدی" نہیں

سیکیورٹی ماہرین نے رواں ماہ خصوصی توجہ کے لئے چند دیگر "اہم" بلیٹن کو بھی جھنڈا دیا۔ کانڈیک نے کہا ، ایکٹو ڈائریکٹری (MS13-032) میں سروس بگ کے انکار کو "انٹرپرائز تنصیبات کے ل the فہرست میں اونچا ہونا چاہئے۔" حملہ آور خطرناک LDAP استفسار بھیج سکتے ہیں جو خطرے کو بڑھاتے ہیں ، جس سے نظام کی یادداشت ختم ہوجاتی ہے اور خدمت سے انکار ہوجاتا ہے۔

مائیکروسافٹ انفارماتھ ، گروف سرور ، شیئرپوائنٹ فاؤنڈیشن اور سرور ، اور "آفس ویب ایپس 2010" (MS13-035) پر اثر انداز ہونے والے استحقاق کے مسئلے کی بلندی کو بھی اس فہرست میں اونچا ہونا چاہئے کیونکہ اس میں پائے جانے والے HTML سینیٹائزیشن جزو کے اندر کسی مسئلے کو طے کرتا ہے۔ پیکجز ، راپ بیریٹ ، ریپڈ 7 میں سیکیورٹی انجینئرنگ کے سینئر مینیجر نے کہا۔ اگر کامیابی سے استحصال کیا گیا تو ، حملہ آور عام طور پر اسکرپٹ پر عملدرآمد کرنے میں کامیاب ہوجائیں گے ، جس کی اجازت نہیں دی جاتی ہے ، محدود ڈیٹا پڑھ سکتے ہیں ، اور شکار کے مراعات کے ساتھ غیر مجاز اقدامات انجام دے سکتے ہیں۔

اگرچہ خطرے کو عوامی سطح پر ظاہر نہیں کیا گیا تھا ، لیکن ایسا لگتا ہے کہ ہدف حملے پہلے ہی جنگل میں اس کا فائدہ اٹھا رہے ہیں۔

مائیکرو سافٹ سب سے بڑی پریشانی نہیں ہے

ایک طویل عرصے سے ، مائیکروسافٹ آئی ٹی سر درد کا بنیادی ذریعہ نہیں رہا ہے۔ ایڈوب نے آج اپنے فلیش پلیئر میں آٹھ معاملات طے کیے ہیں اور آئی ٹی کے منتظمین کو خود جاوا کی نئی اپ ڈیٹ کے لئے خود کو تیار کرنا چاہئے ، جو فی الحال 16 اپریل کو طے شدہ ہے۔ اوریکل سے توقع کی جارہی ہے کہ وہ اس ریلیز میں متعدد خطرات سے دوچار ہیں۔