حمله Zero-Day

عمومی خبری

کاربران مایکروسافت آفیس هدف حمله Zero-Day قرار گرفتند

کاربران مایکروسافت آفیس هدف حمله Zero-Day  قرار گرفتند.

مایکروسافت به کاربران ویندوز هشدار داد که مهاجمان به طور فعال از یک آسیب‌پذیری  zero-day از راه دور در MSHTML استفاده می‌کنند. یک مرورگر وب اختصاصی برای اینترنت اکسپلورر که در حال حاضر با استفاده از اسناد آفیس MS راه‌اندازی شده‌است.

مسیری با عنوان  CVE-2021-40444، آسیب پذیری بر ویندوز سرور 2008 تا 2019 و ویندوز 8.1 تا 10 را تحت‌تاثیر قرار می‌دهد و سطح شدت ۸ / ۸ را از حداکثر ۱۰ دارد. مایکروسافت در حال بررسی گزارش‌هایی از یک آسیب‌پذیری اجرایی از راه دور در MSHTML است که مایکروسافت ویندوز را تحت‌تاثیر قرار می‌دهد. شرکت در یک مشاوره امنیتی گفت: ” مایکروسافت از حملات هدفمند که تلاش می‌کند با استفاده از اسناد دفتر مایکروسافت به طور ویژه از این آسیب‌پذیری بهره‌برداری کند آگاه است.”

“مهاجم می تواند یک کنترل ActiveX بدخواهانه را ایجاد کند تا توسط یک سند مایکروسافت آفیس که میزبان موتور رندر مرورگر است مورد استفاده قرار گیرد. سپس مهاجم باید کاربر را قانع کند که سند مخرب را باز کند. کاربرانی که حساب کاربریشان با سطح دسترسی و حقوق کاربری کمتری پیکربندی شده  کمتر از کاربرانی که با سطح دسترسی ادمین کار می کنند، تحت تاثیر قرار می‌گیرد.”

ActiveX یک فریمورک نرم‌افزاری از مایکروسافت است که مدل شی پیش‌ساخته خود را تطبیق داده و فن‌آوری‌های Linking و Embedding را برای محتوای دانلود شده از شبکه تطبیق می‌دهد. مایکروسافت محققان EXPMON و Mandiant را برای گزارش نقص منسوب کرد، اگرچه این شرکت جزئیات بیشتری را در مورد ماهیت حملات، هویت افرادی که از این حمله سو استفاده کرده‌اند، یا اهداف آن‌ها ارائه نکرد.

محققان در EXPMON اظهار داشتند که این مساله را پس از شناسایی “یک حمله بسیار پیچیده zero-day ” که کاربران مایکروسافت آفیس را تحت تاثیر قرار میدهد، کشف کردند و افزود که آن‌ها یافته‌های خود را در روز یکشنبه با مایکروسافت به اشتراک گذاشتند.محققان Expmon گفتند: اکسپلویت از نقص‌های منطقی استفاده می کند،بنابراین بهره‌برداری کاملا قابل‌اعتماد و البته خطرناک خواهد بود.”

با این حال، اگر مایکروسافت آفیس با تنظیمات پیش‌فرض عمل کند، خطر کاهش می‌یابد، جایی که در آن اسناد دریافتی از وب در نمایش حفاظت‌شده (Protected View) یا Application Guard آفیس اجرا می‌شوند، که برای جلوگیری از فایل‌های غیرقابل اعتماد از دسترسی به منابع مورد اعتماد در سیستم آسیب دیده طراحی شده‌است.

مایکروسافت، پس از تکمیل تحقیقات، انتظار می‌رود که یک پج امنیتی یا به روزرسانی امنیتی خارج از سیکل را “بسته به نیازهای مشتری” منتشر کند. در این فاصله، سازنده ویندوز به کاربران و سازمان‌ها توصیه می‌کند تا تمام کنترل‌های ActiveX در اینترنت اکسپلورر را برای کاهش هر گونه تهدید بالقوه، غیرفعال کنند.

مترجم: مهران بهنام نیا

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

عمومی خبری
کدام زبان‌های برنامه‌نویسی برای ساخت بازی‌ها عملکرد بهتری دارند؟

بیشتر کاربران فضای مجازی و حتا متخصصان فناوری اطلاعات دوست دارند به دنیای ساخت بازی‌های کامپیوتری وارد شوند و پروژه‌های بزرگی در مقیاس جهانی را به ثبت برسانند، با این‌حال به درستی نمی‌دانند که بهترین زبان برنامه‌نویسی برای ساخت بازی‌های کامپیوتری چیست. بازی‌های کامپیوتری به زبان‌های مختلفی نوشته می‌شوند و قرار نیست بازی‌هایی که روی کنسول، کامپیوتر یا دستگاه‌های همراه مشاهده می‌کنید با استفاده از یک زبان نوشته شوند. با این‌حال، برخی از زبان‌ها به دلیل قابلیت‌های کاربردی خوبی که ارائه می‌کنند عملکرد بهتری در زمینه بازی‌سازی دارند.

عمومی خبری
5 شغل برتر در حوزه فناوری شبکه‌های کامپیوتری

در دنیای به سرعت در حال پیشرفت شبکه‌های کامپیوتری که امکان ارتباط و تبادل اطلاعات جهانی را برای تقریبا هر سازمان و شرکتی فراهم کرده است، بازار تقاضا برای استخدام تکنسینهای ماهر شبکه گرم است. شرکتها برای استخدام کارمندان حرفهای دارای گواهینامههای بین المللی و تجربه کاری درحوزههای مختلف فناوری شبکه با یک دیگر در حال رقابت هستند. هر چه شرکتها بیشتر به دنبال استخدام نیروی کار ماهر با مهارتهای روز هستند، یادگیری مداوم مهارتهای شبکه نیز برای متخصصان متعهدی که به دنبال شتاب بخشیدن به تواناییهای خود هستند به یک ضرورت تبدیل شده است.

عمومی خبری
برترین شغل‌های حوزه کامپیوتر در سال‌های آینده

آیا به دنبال مسیر شغلی ایده‌آل خود در حوزه فناوری هستید؟ آیا می‌خواهید بدانید کدام مشاغل کامپیوتری بیشترین متقاضی، بالاترین دستمزد و بهترین فرصت‌ها برای رشد و پیشرفت بعد از اتمام دوره آموزشی را دارند؟ پورتال اطلاع رسانی ITCareerFinder مقایسه‌ای از داغترین مشاغل فناوری دهه حاضر را ارائه داده تا راهنمای شما در انتخاب مشاغل در این حوزه باشد.