माइक्रोसॉफ्ट ने मंगलवार को 2022 तक अपडेट के अपने पहले सेट की शुरुआत की 96 सुरक्षा छेदों को प्लग करना अपने सॉफ्टवेयर पारिस्थितिकी तंत्र में, ग्राहकों से एक महत्वपूर्ण “वर्मनीय” भेद्यता कहे जाने वाले पैचिंग को प्राथमिकता देने का आग्रह करते हुए।

96 कमजोरियों में से नौ को गंभीर और 89 को गंभीरता से महत्वपूर्ण दर्जा दिया गया है, छह शून्य-दिन सार्वजनिक रूप से रिलीज के समय ज्ञात हैं। यह इसके अतिरिक्त है 29 अंक 6 जनवरी, 2022 को माइक्रोसॉफ्ट एज में पैच किया गया। कोई भी खुलासा बग हमले के तहत सूचीबद्ध नहीं है।

पैच माइक्रोसॉफ्ट विंडोज और विंडोज कंपोनेंट्स, एक्सचेंज सर्वर, माइक्रोसॉफ्ट ऑफिस और ऑफिस कंपोनेंट्स, शेयरपॉइंट सर्वर, .NET फ्रेमवर्क, माइक्रोसॉफ्ट डायनेमिक्स, ओपन-सोर्स सॉफ्टवेयर, विंडोज हाइपर-वी, विंडोज डिफेंडर सहित कंप्यूटिंग दिग्गज के पोर्टफोलियो के एक हिस्से को कवर करते हैं। और विंडोज रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी)।

उनमें से प्रमुख है सीवीई-2022-21907 (CVSS स्कोर: 9.8), HTTP प्रोटोकॉल स्टैक में निहित एक रिमोट कोड निष्पादन भेद्यता। माइक्रोसॉफ्ट ने अपनी एडवाइजरी में कहा, “ज्यादातर स्थितियों में, एक अनधिकृत हमलावर HTTP प्रोटोकॉल स्टैक (http.sys) का उपयोग करके पैकेट को प्रोसेस करने के लिए लक्षित सर्वर पर विशेष रूप से तैयार किया गया पैकेट भेज सकता है।”

रूसी सुरक्षा शोधकर्ता मिखाइल मेदवेदेव को त्रुटि की खोज और रिपोर्ट करने का श्रेय दिया गया है, रेडमंड-आधारित कंपनी ने जोर देकर कहा कि यह चिंताजनक है, जिसका अर्थ है कि संक्रमण को ट्रिगर और प्रचारित करने के लिए कोई उपयोगकर्ता सहभागिता आवश्यक नहीं है।

स्वचालित GitHub बैकअप

“हालांकि माइक्रोसॉफ्ट ने एक आधिकारिक पैच प्रदान किया है, यह सीवीई एक और अनुस्मारक है कि सॉफ़्टवेयर सुविधाएं हमलावरों को दुर्भावनापूर्ण कृत्यों के लिए कार्यक्षमताओं का दुरुपयोग करने के अवसरों की अनुमति देती हैं,” विरसेक के प्रमुख वास्तुकार डैनी किम ने कहा।

Microsoft ने अपने पैच मंगलवार अपडेट के हिस्से के रूप में छह शून्य-दिनों को भी हल किया, जिनमें से दो ओपन-सोर्स लाइब्रेरी कर्ल और लिबर्चिव से संबंधित तृतीय-पक्ष फ़िक्सेस का एकीकरण हैं।

  • सीवीई-2021-22947 (सीवीएसएस स्कोर: एन/ए) – ओपन-सोर्स कर्ल रिमोट कोड निष्पादन भेद्यता
  • सीवीई-2021-36976 (सीवीएसएस स्कोर: एन/ए) – ओपन-सोर्स लिबर्चिव रिमोट कोड एक्ज़ीक्यूशन भेद्यता
  • सीवीई-2022-21836 (सीवीएसएस स्कोर: 7.8) – विंडोज सर्टिफिकेट स्पूफिंग भेद्यता
  • सीवीई-2022-21839 (सीवीएसएस स्कोर: 6.1) – विंडोज इवेंट ट्रेसिंग डिस्क्रीशनरी एक्सेस कंट्रोल लिस्ट डेनियल ऑफ सर्विस भेद्यता
  • सीवीई-2022-21874 (सीवीएसएस स्कोर: 7.8) – विंडोज सुरक्षा केंद्र एपीआई रिमोट कोड निष्पादन भेद्यता
  • सीवीई-2022-21919 (सीवीएसएस स्कोर: 7.0) – विंडोज यूजर प्रोफाइल सर्विस एलिवेशन ऑफ प्रिविलेज भेद्यता

नोट की एक और महत्वपूर्ण भेद्यता रिमोट कोड निष्पादन दोष से संबंधित है (सीवीई-2022-21849, सीवीएसएस स्कोर: 9.8) विंडोज इंटरनेट की एक्सचेंज में (आइक) संस्करण 2, जिसके बारे में माइक्रोसॉफ्ट ने कहा था कि एक दूरस्थ हमलावर द्वारा “प्रमाणित किए बिना कई कमजोरियों को ट्रिगर करने” के लिए हथियार बनाया जा सकता है।

उसके शीर्ष पर, पैच एक्सचेंज सर्वर, माइक्रोसॉफ्ट ऑफिस को प्रभावित करने वाले कई रिमोट कोड निष्पादन दोषों को भी दूर करता है (सीवीई-2022-21840), शेयरपॉइंट सर्वर, आरडीपी, और विंडोज रेजिलिएंट फाइल सिस्टम के साथ-साथ एक्टिव डायरेक्ट्री डोमेन सर्विसेज, विंडोज अकाउंट्स कंट्रोल, विंडोज क्लीनअप मैनेजर और विंडोज केर्बेरोज में विशेषाधिकार वृद्धि कमजोरियां।

यह ध्यान देने योग्य है कि CVE-2022-21907 और तीन कमियों का खुलासा किया गया सर्वर की अदला बदली करें (सीवीई-2022-21846, सीवीई-2022-21855, तथा सीवीई-2022-21969, CVSS स्कोर: 9.0) सभी को “शोषण अधिक संभावना” के रूप में लेबल किया गया है, जिससे यह आवश्यक हो गया है कि कमजोरियों को लक्षित करने वाले संभावित वास्तविक दुनिया के हमलों का मुकाबला करने के लिए पैच को तुरंत लागू किया जाए। यूएस नेशनल सिक्योरिटी एजेंसी (NSA) को CVE-2022-21846 को फ़्लैग करने के लिए स्वीकार किया गया है।

“यह विशाल पैच मंगलवार सुरक्षा उद्योग में अराजकता के समय के दौरान आता है, जिससे पेशेवर ओवरटाइम को ठीक करने के लिए काम कर रहे हैं लॉग4शेल – कथित तौर पर दशकों में देखी गई सबसे खराब भेद्यता,” क्वालिस में भेद्यता और खतरे के अनुसंधान के निदेशक भरत जोगी ने कहा।

“इवेंट जैसे Log4Shell […] एक संगठन द्वारा अपने वातावरण में उपयोग की जाने वाली हर चीज की एक स्वचालित सूची होने के महत्व को सबसे आगे लाएं, “जोगी ने कहा,” परिभाषित कार्यक्रम के साथ घटनाओं के लिए पैच की तैनाती को स्वचालित करने के लिए समय की आवश्यकता है (उदाहरण के लिए, एमएसएफटी पैच मंगलवार), इसलिए सुरक्षा पेशेवर अप्रत्याशित घटनाओं के लिए कुशलता से प्रतिक्रिया करने के लिए ऊर्जा पर ध्यान केंद्रित कर सकते हैं जो नृशंस जोखिम पैदा करते हैं।”

अन्य विक्रेताओं से सॉफ्टवेयर पैच

Microsoft के अलावा, अन्य विक्रेताओं द्वारा कई कमजोरियों को दूर करने के लिए सुरक्षा अद्यतन भी जारी किए गए हैं, जिनकी गणना –

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here