לוגו מיקרוסופט סניף הרצליה (צילום: רונן מנדזיצקי, גאדג'טי)

צילום: רונן מנדזיצקי, גאדג'טי

מיקרוסופט מפרסמת פרצת יום אפס חדשה וחמורה במערכות ווינדוס

חברת מיקרוסופט (Microsoft) חשפה קיום של פרצת יום-אפס חדשה וחמורה במיוחד תחת קוד הזיהוי ADV200006, כאשר היא מאשרת שבוצע כבר שימוש בפרצה על ידי גורמים זדוניים. הפרצה משתמשת בחולשת אבטחה שאותרה בספריית Adobe Type Manager המאפשרת הרצת קוד זדוני על המחשב, כאשר הפרצה תקפה לכלל מערכות הווינדוס השונות, ונכון לעכשיו אין תיקון אבטחה לפרצה החדשה, אלא רק פתרונות עקיפים.

הפרצה החדשה נמצאת בספריית ה-Adobe Type Manager האחראית לרנדור הפונטים לתצוגה במערכת ההפעלה ווינדוס, כאשר תוקף זדוני יכול ליצור קוד יעודי מיוחד בפורמט Adobe Type 1 PostScript שיאפשר למעשה לתוקפים להריץ את הקוד לא רק בזמן הפתיחה של הקובץ אלא גם בתצוגה מוקדמת שלו במערכת.

בהתייחסות רשמית של מיקרוסופט נאמר כי למרות שאותרו שימושים בפרצות על ידי גורמים זדוניים, התיקון לפרצה צפוי לצאת רק ב-14.4 כחלק מסבב עדכוני האבטחה הקבועים של החברה, כאשר היא מפרסמת פתרונות ידניים בעבור הפרצה החדשה, הדורשים ידע טכני "מתקדם" יחסית, כאשר התיקונים המוצעים מתחלקים ל-3:

  • ביטול התצוגה המקדימה והפרטים בסייר האקספלורר – תקף לכל המערכות אך לא פותר את הפרצה במידה והקובץ הזדוני יפתח ידנית.
  • ביטול שירות ה-WebClient – תקף לכל המערכות אך לא פותר את הפרצה במידה והקובץ הזדוני יפתח ידנית.
  • שינוי שם קובץ ה-ATMFD.DLL – תקף למערכות קודמות מווינדוס 10 ופותר כלל את הבעיה אך יכול לגרום לבעיות בשימוש.

הדבר המטריד ביותר מלבד קיום הפרצה החדשה והעובדה כי היא נמצאת בשימוש נחשבת כקריטית על ידי מיקרוסופט, הוא שהחברה לא ממהרת לשחרר תיקון לפרצה, אלא דוחה אותו לאמצע חודש אפריל עם פרסום פתרונות עקיפים בלבד לבעיית האבטחה החדשה.

מקורות
microsoft
techcrunch
במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות