مايكروسوفت تكشف عن ثغرة أمنية خطيرة في Office
تاريخ النشر: 10th, August 2024 GMT
كشفت شركة مايكروسوفت عن ثغرة أمنية خطيرة للغاية تؤثر على Office 2016 والإصدارات الأحدث، ولا تزال تنتظر التصحيح.
تم تتبع هذه الثغرة الأمنية باسم CVE-2024-38200، وهي ناتجة عن ضعف في الكشف عن المعلومات يتيح للجهات الفاعلة غير المصرح لها الوصول إلى المعلومات المحمية مثل حالة النظام أو بيانات التكوين أو المعلومات الشخصية أو بيانات تعريف الاتصال.
تؤثر الثغرة الأمنية الخطيرة على إصدارات Office متعددة 32 بت و64 بت، بما في ذلك Office 2016 وOffice 2019 وOffice LTSC 2021 وMicrosoft 365 Apps for Enterprise.
على الرغم من أن تقييم قابلية الاستغلال من قِبل شركة مايكروسوفت يقول إن استغلال CVE-2024-38200 أقل احتمالية، فقد وصف معهد ماساتشوستس للتكنولوجيا احتمالية استغلال هذا النوع من نقاط الضعف بأنها محتملة للغاية.
"في سيناريو هجوم قائم على الويب، يمكن للمهاجم استضافة موقع ويب (أو الاستفادة من موقع ويب مخترق يقبل أو يستضيف محتوى يقدمه المستخدم) يحتوي على ملف مصمم خصيصًا لاستغلال الثغرة الأمنية"، كما يوضح استشارة Microsoft.
"ومع ذلك، لن يكون لدى المهاجم أي طريقة لإجبار المستخدم على زيارة الموقع. بدلاً من ذلك، سيتعين على المهاجم إقناع المستخدم بالنقر فوق رابط، عادةً عن طريق الإغراء في رسالة بريد إلكتروني أو رسالة Instant Messenger، ثم إقناع المستخدم بفتح الملف المصمم خصيصًا."
تعمل الشركة على تطوير تحديثات أمنية لمعالجة هذا الخطأ غير المسبوق ولكنها لم تعلن بعد عن تاريخ الإصدار.
في حين لم يشارك Redmond أي تفاصيل بخصوص الخلل، فقد نُسب اكتشافه إلى مستشار الأمن في PrivSec Consulting Jim Rush وعضو فريق Synack Red Team Metin Yunus Kandemir.
صرح المدير الإداري لشركة PrivSec بيتر جاكويتز لموقع BleepingComputer أن Rush سيكشف المزيد من المعلومات حول هذه الثغرة الأمنية في حديثه القادم في مؤتمر Defcon بعنوان "NTLM - The last ride".
يوضح Rush: "سيكون هناك بحث متعمق في العديد من الأخطاء الجديدة التي كشفنا عنها لشركة Microsoft (بما في ذلك تجاوز إصلاح لثغرة CVE موجودة)، وبعض التقنيات المثيرة للاهتمام والمفيدة، والجمع بين التقنيات من فئات أخطاء متعددة مما أدى إلى بعض الاكتشافات غير المتوقعة وبعض الأخطاء المطبوخة تمامًا".
"سنكتشف أيضًا بعض الإعدادات الافتراضية التي لا ينبغي أن توجد ببساطة في المكتبات أو التطبيقات المعقولة بالإضافة إلى بعض الثغرات الصارخة في بعض عناصر التحكم الأمنية المتعلقة بـ NTLM من Microsoft".
لم يكن المتحدث باسم Synack متاحًا للتعليق فورًا عندما اتصلت به BleepingComputer في وقت سابق اليوم لمزيد من التفاصيل بشأن ثغرة CVE-2024-38200.
تعمل Microsoft أيضًا على تصحيح عيوب اليوم صفر التي يمكن استغلالها "لإلغاء التصحيح" لأنظمة Windows الحديثة وإعادة تقديم الثغرات الأمنية القديمة.
قالت الشركة أيضًا في وقت سابق من هذا الأسبوع إنها تفكر في تصحيح Windows Smart App Control، تجاوز SmartScreen الذي تم استغلاله منذ عام 2018.
المصدر: بوابة الوفد
كلمات دلالية: الثغرة الأمنیة
إقرأ أيضاً:
مايكروسوفت تُعيد تشكيل الرعاية الصحية بالذكاء الاصطناعي
أعلنت مايكروسوفت عن نظام الذكاء الاصطناعي الجديد "Dragon Copilot" المخصص للقطاع الصحي، والذي يمكنه الاستماع إلى الزيارات السريرية وإنشاء ملاحظات بناءً على المحادثات الطبية.
يعتمد النظام على تقنية الإملاء الصوتي والاستماع البيئي التي طورتها شركة Nuance، والتي استحوذت عليها مايكروسوفت عام 2021.
اقرأ ايضاً.. الذكاء الاصطناعي.. طبيب «عن بُعد»
ميزات متقدمة لتسهيل التوثيق الطبي
وفقًا للإعلان الرسمي، يهدف "Dragon Copilot" إلى تسهيل عملية التوثيق الطبي من خلال ميزات مثل "إنشاء ملاحظات بيئية متعددة اللغات" والإملاء باستخدام اللغة الطبيعية. كما يتيح للمستخدمين البحث عن معلومات طبية موثوقة، وأتمتة مهام مثل تلخيص الأدلة السريرية، وإعداد رسائل الإحالة، وملخصات ما بعد الزيارة.
تقليل الأعباء الإدارية وتحسين تجربة المرضى
وأوضح جو بيترو، نائب رئيس مايكروسوفت لحلول ومنصات الرعاية الصحية وعلوم الحياة، أن الهدف الأساسي من هذا النظام هو تخفيف العبء الإداري عن الأطباء والعاملين في القطاع الصحي، مما يتيح لهم التركيز على رعاية المرضى. وأشارت مايكروسوفت إلى أن الدراسات الاستقصائية التي أجرتها أظهرت انخفاض معدلات الإرهاق بين الأطباء الذين استخدموا تقنيات Nuance، كما أفاد 93% من المرضى الذين تعاملوا مع هذه التقنيات بتحسن التجربة الصحية بشكل عام.
منافسة قوية بين عمالقة التقنية في القطاع الصحي
أخبار ذات صلةوتتنافس مايكروسوفت مع شركات أخرى في تقديم أدوات الذكاء الاصطناعي للقطاع الصحي، حيث نشرت جوجل اليوم تقريرًا يسلط الضوء على استخدام الذكاء الاصطناعي الطبي في تحديد المخاطر الصحية للمرضى، بالإضافة إلى ميزات البحث المتعدد الوسائط عن الصور الطبية عبر منصة Vertex AI Search.
اقرأ أيضاً.. الذكاء الاصطناعي يتفوق على البشر في تحليل بيانات مراقبة القلب بدقة مذهلة
ضمانات طبية وأمان البيانات
يُذكر أن إدارة الغذاء والدواء الأمريكية (FDA) كانت قد أصدرت العام الماضي إرشادات حول استخدام تقنيات الذكاء الاصطناعي التوليدي في الرعاية الصحية، مشيرةً إلى فوائدها المحتملة، إلى جانب المخاطر المتعلقة بدقة المعلومات. وفي هذا السياق، أكدت مايكروسوفت التزامها بتطوير ذكاء اصطناعي مسؤول، مشددةً على أن "Dragon Copilot" يعتمد على بنية بيانات آمنة ويشمل ضمانات خاصة بالتوافق الطبي والسلامة السريرية لضمان نتائج دقيقة وآمنة.
إسلام العبادي(أبوظبي)
حالة الطقس ودرجات الحرارة المتوقعة اليوم الخميس 6 مارس 2025