في يناير من نفس العام ، أصدرت مايكروسوفت تصحيحًا أمنيًا يستهدف أجهزة الكمبيوتر التي تم تحديثها لنظام التشغيل الويندوز 11 ، والذي جاء لحل ثغرة أمنية خطيرة موجودة في آلية أمان التمهيد الآمن. لكن "BlackLotus" ، أحد أخطر "البرامج الضارة" اليوم ، يستمر في شن الحرب ، وكان على مايكروسوفت إصدار تصحيح جديد هذا الأسبوع ، والذي يصحح خطأ آخر كان هذا البرنامج يستفيد منه لتنفيذ التعليمات البرمجية بطريقة ما عن بعد على أجهزة كمبيوتر ضحاياه.
ومع ذلك ، لن يتم حل الثغرة الأمنية حتى الربع الأول من عام 2024 على الأقل. تم تأكيد ذلك من قبل مايكروسوفت نفسها في تصريحات لـ ArsTechnica ، حيث أوضحوا أنه يجب نشر الحل في ثلاث مراحل مختلفة مفصولة بعدة أشهر.تكمن خطورة BlackLotus في قدرته على التهرب من آليات الأمان الخاصة بـ التمهيد الآمن أو SecureBoot ، وهو نظام التمهيد الآمن الذي تم تضمينه في الغالبية العظمى من أجهزة كمبيوتر الويندوز التي تم إصدارها في العقد الماضي. في الواقع ، من الضروري أن تكون قادرًا على تضمين الويندوز 11 أو الترقية إلى هذا الإصدار.
من خلال تجاوز آليات الأمان هذه ، يستطيع BlackLotus تنفيذ تعليمات برمجية ضارة حتى قبل أن يبدأ نظام التشغيل في التحميل عند تشغيل الكمبيوتر. يضمنون من مايكروسوفت إمكانية استغلال الثغرة الأمنية من قبل المهاجمين الذين لديهم وصول فعلي إلى جهاز كمبيوتر يعمل بنظام الويندوز، أو الذين لديهم أذونات المسؤول في النظام.
لحل المشكلة ، ستصدر مايكروسوفت عددًا من التحديثات المختلفة. الأول جاء في يناير لإصلاح الثغرة الأمنية CVE-2022-21894 ، والثاني تم إصداره مؤخرًا ويهدف إلى إصلاح الثغرة الأمنية CVE-2023-24932.
هذا الأخير مخصص لأجهزة الكمبيوتر التي تعمل بنظام التشغيل الويندوز 10 و الويندوز 11 وإصدارات Windows Server الأحدث من Windows Server 2008. ومع ذلك ، سيصل التحديث إلى الأجهزة مع تعطيل التصحيح ، وسيستغرق تنشيطه بضعة أشهر ، لأنه سيجعل تتوقف الوسائط المستخدمة حاليًا لتشغيل الويندوز على أجهزة الكمبيوتر عن العمل نتيجة للتغييرات التي تطرأ على محمل الإقلاع والتي لا رجعة فيها. هذا يعني أنه بمجرد تنشيط التصحيح ، لن يكون من الممكن التمهيد باستخدام وسائط مثل محركات أقراص USB أو أقراص DVD القديمة بإصدارات من الويندوز لا تتضمن التصحيح.
هذا هو السبب الذي دفع مايكروسوفتإلى اتخاذ قرار بترك مسافة لحل الخرق بمرور الوقت. التحديث الذي يهدف إلى تسهيل تفعيل التصحيح لن يصل حتى يونيو ، وآخرها المسؤول عن التفعيل النهائي لإصلاح المشكلة سيكون متاحًا في بداية عام 2024.
مجانا .
ليست هناك تعليقات:
إرسال تعليق