أعلنت شركة مايكروسوفت عن إصدارها إصلاحات لما يصل إلى 58 عيبًا أمنيًا تم اكتشافها حديثًا، وتغطي هذه الإصلاحات ما يصل إلى 11 منتجًا وخدمة، وبذلك يصل إجمالي الإصلاحات الصادرة هذا العام إلى 1250.
وهناك عدد أقل من الإصلاحات في شهر ديسمبر مقارنةً بالإصلاحات التي أعلنت عنها مايكروسوفت سابقًا، والتي تزيد عن 100 إصلاح كل شهر، ومن بين هذه التصحيحات الجديدة، تم تصنيف 9 على أنها حرجة، و 46 على أنها مهمة، و 3 على أنها متوسطة الخطورة.
ويعالج إصدار الأمان لشهر ديسمبر المشكلات في نظام التشغيل ويندوز، ومتصفح إيدج، و ChakraCore، و Microsoft Office، و Exchange Server، و Azure DevOps، و Microsoft Dynamics، و Visual Studio، و Azure SDK، و Azure Sphere.
وتتعلق إصلاحات شهر ديسمبر بعدد من العيوب في تنفيذ التعليمات البرمجية عن بُعد RCE في Microsoft Exchange و SharePoint و Excel، بالإضافة إلى تصحيح لتجاوز ميزة الأمان في Kerberos، وعدد من عيوب تصعيد الامتيازات في محرك النسخ الاحتياطي لويندوز.
ويحمل العيب الأمني المسمى CVE-2020-17095 الدرجة العليا من حيث الخطورة من بين جميع نقاط الضعف المصححة هذا الشهر، ويجب تصحيح هذه الأخطاء الأمنية بشكل سريع، حيث يمكن استغلالها بسهولة أكبر، دون تدخل المستخدم، سواء عبر الإنترنت أو عبر الشبكة المحلية.
وتم تضمين استشارة أمنية لثغرة تسمم ذاكرة التخزين المؤقتة لنظام أسماء النطاقات المسماة (CVE-2020-25705)، التي اكتشفها باحثو الأمن من جامعة تسينغهوا وجامعة كاليفورنيا في الشهر الماضي.
ويُطلق على هذا الخلل اسم هجوم SAD DNS، ويمكن أن يؤدي إلى السماح للمهاجم بمحاكاة حزمة DNS، التي يمكن تخزينها بشكل مؤقت من خلال محلل DNS، مما يتيح إعادة تمكين الهجمات لتسميم ذاكرة التخزين المؤقتة لنظام أسماء النطاقات.
وتنصح مايكروسوفت بشدة أن يقوم مستخدمو ويندوز ومسؤولو النظام بتطبيق أحدث التصحيحات الأمنية لحل التهديدات المرتبطة بهذه المشكلات، كما أن هناك خطأ رئيسي آخر تم إصلاحه هذا الشهر أيضًا هو خطأ في Hyper-V، وهي تقنية المحاكاة الافتراضية من مايكروسوفت المستخدمة لاستضافة الأجهزة الافتراضية.
ويمكن استغلال هذا الخطأ عبر حزمة SMB ضارة، ويمكن أن يسمح هذا الخطأ للمهاجمين عن بُعد بخرق بيئات وضع الحماية الافتراضية، وهو شيء تم تصميم Hyper-V لحمايته.
