مائیکرو سافٹ نے منگل کو دسمبر کے پیچ میں جھگڑا صفر دن ٹھیک کردیا

مائیکرو سافٹ نے دسمبر کے پیچ منگل کی رہائی کے لئے 11 سیکیورٹی بلیٹن کا اعلان کیا ، جس میں مائیکروسافٹ ونڈوز ، انٹرنیٹ ایکسپلورر ، آفس اور ایکسچینج سمیت مائیکروسافٹ سوفٹویئر میں 24 کمزوریاں حل کی گئیں۔ اگرچہ مائیکرو سافٹ نے نومبر میں دریافت XP / سرور 2003 میں صفر دن کی خامی کو دور نہیں کیا ، لیکن اس نے TIFF مسئلے کو ٹھیک کیا جس نے ونڈوز ، آفس اور Lync انٹرپرائز میسجنگ سسٹم کو متاثر کیا۔

پانچ میں سے بلیٹن کو "تنقیدی" اور بقیہ چھ کو "اہم" قرار دیا گیا ہے۔ اس معاملے میں تنقید کا مطلب یہ ہے کہ اگر استحصال کیا گیا تو ، کمزوری حملہ آور کو دور سے کوڈ پر عمل کرنے کی اجازت دے گی۔ اس تناظر میں اہم ہونے کا مطلب یہ ہے کہ اس خطرے کا نتیجہ صارف کے ڈیٹا سے سمجھوتہ کیا جاسکتا ہے یا کچھ عمل درہم برہم ہوسکتا ہے۔ مائیکرو سافٹ نے تجویز پیش کی ہے کہ فوری پیچ کو فوری طور پر لاگو کیا جائے اور اہم پیچ "جلد موقع پر"۔

ریپڈ 7 کے سیکیورٹی انجینئرنگ کے سینئر مینیجر راس بیریٹ نے کہا ، "سیزن کے آخری ، دیر سے اشنکٹبندیی طوفان کی طرح ، مائیکرو سافٹ بھی سیکیورٹی اور آئی ٹی ٹیموں پر یکساں تیزی لے رہا ہے۔"

صفر ڈے جو مل گیا

گرافکس کے اجزاء کو زیرو ڈے کے مسئلے نے ونڈوز وسٹا ، ونڈوز سرور 2008 ، آفس 2003/2007/2010 ، اور Lync 2010/2013 کو متاثر کیا۔ اس خطرے کا استحصال بدسلوکی سے تیار کیا ہوا TIFF شبیہہ پیش نظارہ کرکے یا کھول کر حاصل کیا جاسکتا ہے ، اور ایکس پی سسٹمز پر Office 2010 کو کامیابی سے نشانہ بنایا گیا ہے۔ مائیکروسافٹ ٹرسٹ ایبل کمپیوٹنگ کے گروپ منیجر ڈسٹن چائلڈز نے بتایا کہ یہ بگ MS13-096 میں طے کی گئی ہے۔

صارفین اور منتظمین کو اس پیچ کو اولین ترجیح کے طور پر سمجھنا چاہئے ، یہاں تک کہ اگر وہ نومبر میں ہاٹ فکس انسٹال کر لیتے ، لامینشن سے متعلق فارنزک کے تجزیہ کار ، پال ہنری نے سیکیورٹی واچ کو بتایا۔ ہینری نے کہا ، "کیونکہ ہم جانتے ہیں کہ صارفین کو قائل کرنے پر راضی کرنا ہمیشہ اتنا مشکل نہیں ہوتا ہے ، لہذا اس کے لئے ایک پیچ یقینی طور پر خوش آئند ہے۔"

انٹرنیٹ ایکسپلورر کے لئے بہت ساری فکسس

اگلی ترجیحی پیچ MS13-097 ، انٹرنیٹ ایکسپلورر کے لئے مجموعی اپ ڈیٹ ہونا چاہئے۔ یہ بلیٹن سات کیڑے اسکواش کرتا ہے۔ اگرچہ ان مسائل کو فی الحال نشانہ نہیں بنایا جارہا ہے ، بہت سارے مالویئر مصنفین نئے استحصال پیدا کرنے کے لئے انجینئرنگ پیچ کو الٹنا پسند کرتے ہیں۔ اس کا مطلب ہے کہ وہ صارفین جو فوری طور پر IE کو اپ ڈیٹ نہیں کرتے ہیں ان میں سے کسی ایک کارنامے کی گرفت میں آسکتے ہیں۔

آئی ای پیچ میں طے شدہ کیڑے میں سے ایک انٹرنیٹ ایکسپلورر کے ہر معاون ورژن پر اثر انداز ہوتا ہے ، ماریو میفریٹ ، بی ایونڈ ٹرسٹ کے سی ٹی او نے متنبہ کیا۔ انہوں نے کہا ، "اس پیچ کو جلد سے جلد ختم کرو۔"

مائیکروسافٹ اسکرپٹنگ رن ٹائم آبجیکٹ لائبریری (MS13-099) میں کسی مسئلے کو ٹھیک کرنے والے بلیٹن کو بھی اعلی ترجیح سمجھا جانا چاہئے کیونکہ یہ ونڈوز جزو آپریٹنگ سسٹم کے ہر ورژن کے ساتھ تقسیم ہوتا ہے۔ مائفریٹ نے متنبہ کیا کہ حملہ آور ڈرائیو بائی حملہ کرکے ویب براؤزر کے ذریعہ اس خامی کا استحصال کرسکتے ہیں اور متاثرہ شخص کے کمپیوٹر کو بدنیتی پر مبنی کوڈ کو عملی جامہ پہنانے میں ناکام بناسکتے ہیں۔

دستخط کی توثیق کرنے میں مسئلہ

مائیکروسافٹ نے ونڈو کے ہر معاون ورژن میں موجود ون ویری ٹرسٹ دستخطی توثیق کے طریقہ کار (MS13-098) میں اس مسئلے کو طے کیا۔ حملہ آور اس غلطی کا فائدہ اٹھا کر پروگرام کے دستخط کو غلط کیے بغیر کسی دستخط شدہ پروگرام میں ترمیم کرسکتے ہیں۔ مائفریٹ نے کہا کہ صارفین سمجھتے ہیں کہ پھانسی پانے والا ایک جائز پروگرام تھا کیوں کہ جب اس میں قانونی طور پر دستخط ہوتے تھے جب حقیقت میں اس میں بدنیتی پر مبنی ضابطہ ہوتا تھا۔

جنگ کے اندر اس خطرے کو نشانہ بنانے کے کارنامے پہلے ہی دیکھے جاچکے ہیں ، اس پیچ کو تعی .ن کرنا بھی ایک ترجیح ہے۔

آؤٹ لک ویب تک رسائی میں بگ ایکسچینج کریں

مائیکروسافٹ ایکسچینج کا بلیٹن (MS13-105) آؤٹ لک ویب رسس (OWA) سے متعلق مسائل کو حل کرتا ہے اور اس کا تعلق اوریکل کے آؤٹસાઇڈ جزو سے ہوتا ہے۔ یہ پیچ اکتوبر کے بعد واپس آنے کے بعد اوریکل کی جانب سے اپنے تنقیدی پیچ اپ ڈیٹ میں جزو کا نیا ورژن جاری کرنے کے بعد آیا ہے۔ حملہ آور ای میل کے ذریعے بدنیتی پر مبنی دستاویز بھیج کر ان کیڑے کا استحصال کرسکتے ہیں۔ کوالیس کے سی ٹی او ولف گینگ کانڈیک نے کہا کہ حملہ آور صارف کو دیکھنے میں دھوکہ دینے کے بعد پورے میل سرور پر قابو پال سکتے ہیں۔ "اگر آپ اپنے سیٹ اپ میں OWA استعمال کرتے ہیں تو ، MS13-105 آپ کی تنظیم کے لئے ایک اہم پیچ ہے۔"

ایڈوب فلیش پیچ لگانا

کمپنی نے چار دیگر مشوروں کو بھی جاری کیا ، جن میں سے ایک انٹرنیٹ ایکسپلورر میں ایڈوب فلیش پلیئر کو اپ ڈیٹ کرتا ہے۔ ایڈوب نے پہلے اس سے پہلے فلیش پلیئر 11.9.900.153 اور ونڈوز اور میک OS X کے سابقہ ​​ورژن میں دو خطرہ پیدا کیا تھا۔ اس مسئلے میں سے ایک کو فی الحال جنگل میں نشانہ بنایا جارہا ہے۔ مائیکرو سافٹ نے اپنی ایڈوائزری اس لئے جاری کی کہ وہ انٹرنیٹ ایکسپلورر کے جدید ترین ورژن میں فلیش پلیئر کو بنڈل کرتا ہے ، جیسا کہ گوگل اپنے کروم براؤزر کے ساتھ کرتا ہے۔

مائیکرو سافٹ کے ایک اور مشاورے نے ASP.NET ایپلیکیشنز کو متاثر کرنے والے توثیق سے متعلق ایک اہم مسئلہ پر توجہ دی۔ .NET ایپلی کیشن ڈویلپرز کو اس بات کا یقین کرنے کے لئے ایڈوائزری پر دھیان دینے کی ضرورت ہے کہ ان کی درخواستوں پر اثر انداز نہ ہوں۔

بیریٹ نے کہا ، "یہاں شامل تمام ٹیموں کے لئے یہ ایک مصروف مہینہ ہونے والا ہے ، سب کو خوش کرنے میں خوشی ہے۔"