أخطر ثغرة في تاريخها.. مايكروسوفت تصلح ثغرة أمنية في معالجة طلبات الـhttp
أعلنت شركة مايكروسوفت عن إصلاح ثغرة أمنية بالغة الخطورة في أنظمتها، وصفت بأنها من بين أخطر الثغرات التي واجهتها الشركة في تاريخها.
وأوضحت مايكروسوفت في بيان لها، أن الثغرة اكتشفت في طريقة معالجة طلبات الإنترنت المعروف بـ (HTTP).
وذكرت الشركة أن هذه الثغرة قد تتيح تجاوز أنظمة الحماية والوصول إلى بيانات حساسة أو تعطيل الخادم المستهدف بالكامل.
وأكدت مايكروسوفت أنها لم ترصد حتى الآن أي حالات استغلال فعلية للثغرة، لكنها دعت المستخدمين والمطورين إلى تطبيق التحديثات الأمنية فورا لتأمين بيئات العمل.
وطالبت الشركة مستخدمي ".NET 8" والإصدارات الأحدث بتثبيت آخر التحديثات المتاحة.
كيفية التحديث
وأوضحت مايكروسوفت في استشارتها الأمنية: "يمكن للمهاجم الذي استغل هذه الثغرة بنجاح عرض معلومات حساسة مثل بيانات اعتماد مستخدم آخر (السرية) وإجراء تغييرات على محتويات الملفات على الخادم المستهدف (السلامة)، وقد يتمكن من فرض تعطل داخل الخادم (التوفر)".
اعتمادًا على الإصدارات التي تستخدمها، هناك طرق مختلفة لتأمين البنية الأساسية الخاصة بك من الهجمات المحتملة.
على مستخدمي .NET 8 أو أحدث تثبيت تحديث .NET من Microsoft Update، بينما على مستخدمي .NET 2.3 تحديث مرجع حزمة Microsoft.AspNet.Server.Kestrel.Core إلى 2.3.6، ثم إعادة تجميع التطبيق وإعادة نشره.
أما مستخدمي التطبيقات المستقلةذات الملف الواحد، فعليهم تثبيت تحديث .NET وإعادة تجميعه وإعادة نشره.
الشروط والأحكام وسياسة الخصوصية وأن عمرك 16 عامًا أو أكثر.
كما أصدرت Microsoft تحديثات أمان لـ Microsoft Visual Studio 2022، وASP.NET Core 2.3، وASP.NET Core 8.0، وASP.NET Core 9.0، بالإضافة إلى حزمة Microsoft.AspNetCore.Server.Kestrel.Core لتطبيقات ASP.NET Core 2.x.
على GitHub، قال مدير برنامج الأمان الفني لـ .NET، باري دورانز، إن درجة الخطأ لن تكون "قريبة من هذا الارتفاع"، ولكن الدرجات تعتمد على كيفية تأثير الخطأ على التطبيقات المبنية على ASP.NET، لذا فإن الأمر يعتمد في الواقع على كل تطبيق على حدة:
واختتمت مايكروسوفت بيانها بالتأكيد على استمرار جهودها لتعزيز أمن بيئات التطوير والخدمات السحابية، في ظل تزايد محاولات استغلال الثغرات الإلكترونية على المستوى العالمي.
