مايكروسوفت تصلح عيب أمني موجود منذ 17 عاماً

أعلنت شركة مايكروسوفت عن قيامها بإصلاح العلّـة المتعلقة بتنفيذ التعليمات البرمجية عن بُعد البالغ عمرها 17 عاماً  والتي كانت تتواجد ضمن برمجية قابلة للتنفيذ تسمّى “محرر معادلات مايكروسوفت Microsoft Equation Editor”المتواجدة ضمن حزمة برمجيات المكتب أوفيس. ويأتي تصحيح الضعفCVE-2017-11882 كجزء من التصحيح الأمني لشهر نوفمبر/تشرين الثاني الذي يحتوي على 53 تصحيحاً، وتؤدي نقاط الضعف الموجودة في البرمجيات المستخدمة ضمن الهواتف الذكية والحواسيب اللوحية وأجهزة الحاسب إلى وضع المستخدم في خطر شبه يومي. وقد قيّمت شركة مايكروسوفت العلّـة بوصفها “هامة” من حيث التأثير، لكن الباحثين الأمنيين في شركة Embedi للحلول الأمنية الذين اكتشفوا العلّـة وصفوها بأنها “خطيرة للغاية”، وذلك تبعاً لوجود هذه العلّـة في كلّ إصدار من حزمة المكتب أوفيس الذي صدر منذ عام 2000.

 كما أنها تعمل مع كافة إصدارات ويندوز، بما في ذلك Windows 10 Creators Update. ويتم تثبيت محرر المعادلات بشكل افتراضي مع مجموعة أوفيس، ويتم استخدام البرمجية لإدراج وتحرير المعادلات المعقدة كعناصر ربط وتضمين OLE في مستندات مايكروسوفت وورد  Word، وهي ميّزة قد لا يجري استعمالها أبداً من قبل مستخدمي مايكروسوفت أوفيس.

وتتواجد برمجية محرر المعادلات منذ شهر نوفمبر/تشرين الثاني عام 2000، وتواجدت منذ ذلك الحين ضمن جميع نسخ حزمة المكتب أوفيس، وجرى استبدال البرمجية في عام 2007 بنسخة أحدث، وتم ترك برمجية محرر المعادلات القديمة ضمن أوفيس لدعم الملفات التي استخدمت المعادلات القديمة المستندة على  EQNEDT32.EXE

وكشف تحليل إضافي من قبل شركة Embedi بأن EQNEDT32.EXE غير آمنة لأنها تعمل خارج نطاق حزمة أوفيس عند تشغيلها. كما أنها لم تستفد من الميزات الأمنية الموجودة ضمن ويندوز 10 وأوفيس مثل Control Flow Guard.

وكانت مايكروسوفت قد أدخلت ميزة أمان جديدة ضمن إصدار أوفيس 2010، والتي خففت بشكل كبير من المخاطر  وهي وضعية “العرض المحمي Protected View”، والتي تساعد على الحماية من مثل هذه البرمجيات عن طريق الحد من وظائف المستندات والوثائق غير المعروفة وغير الآمنة. وبحسب Embedi يمكن للهاكرز الالتفاف بسهولة على هذه الحماية عن طريق اختراق المستخدم أولاً عبر هجوم تصيّد مقنع وتعطيل ميزة Protected View ومن ثم استغلال العلّة عن بعد، وذلك مع التحسّن الملحوظ في السنوات الأخيرة لمهارات الهاكرز في الهندسة الاجتماعية وهجمات التصيّد الاحتيالية التي تعدّ اليوم أكثر تعقيداً بكثير ممّا كانت عليه عام 2010.

 

 

 

 

اترك تعليق

كن أوّل من يعلّق

نبّهني عن
avatar
‫wpDiscuz