يشهد شهر فبراير إصدارات تحديثات أمنية هامة من كبرى شركات التكنولوجيا، وذلك في إطار ما يُعرف بـ “ثلاثاء التصحيحات” (Patch Tuesday)، لمعالجة ثغرات أمنية متعددة قد تؤثر على منتجاتها وخدماتها، بما في ذلك التصحيحات الأمنية.
أصدرت مايكروسوفت تحديثات لمعالجة 59 ثغرة، ستة منها تم استغلالها بالفعل في الهجمات الإلكترونية. تتيح هذه الثغرات، التي يعرفها الفنيون بـ “الثغرات صفرية اليوم” (Zero-day vulnerabilities)، للمهاجمين تجاوز ميزات الأمان، أو رفع صلاحيات الوصول، أو تعطيل الخدمة.
من جهتها، أطلقت أدوبي تحديثات لبرامج مثل Audition، و After Effects، و InDesign Desktop، و Substance 3D، و Bridge، و Lightroom Classic، و DNG SDK. وأوضحت الشركة أنها لا تملك معلومات عن استغلال أي من هذه الثغرات في الوقت الحالي.
أبرز الثغرات التي تم معالجتها في التصحيحات الأمنية
شملت التحديثات الأمنية الهامة معالجة ثغرات حرجة من تصنيف CVSS 9.9 في أنظمة SAP CRM و S/4HANA، والتي كان بإمكانها منح المهاجمين المصرح لهم صلاحية تنفيذ أوامر SQL عشوائية، مما قد يؤدي إلى اختراق كامل لقاعدة البيانات. هذا النوع من الثغرات يمثل تهديداً كبيراً للأمن السيبراني.
بالإضافة إلى ذلك، تم سد ثغرة حرجة أخرى بنظام SAP NetWeaver Application Server ABAP و ABAP Platform، بتصنيف CVSS 9.6. تسمح هذه الثغرة للمستخدمين المصرح لهم، حتى ذوي الصلاحيات المنخفضة، بتنفيذ استدعاءات وظيفية عن بعد (RFC) بدون الحاجة لصلاحيات S_RFC المطلوبة.
وتتطلب معالجة هذه الثغرة الأخيرة تطبيق تحديث للنواة (Kernel Update) وتعيين معلمة تهيئة محددة، وقد تستلزم تعديلات في أدوار المستخدمين وإعدادات UCON لضمان عدم تعطيل العمليات التجارية، بحسب ما ذكرت شركة Onapsis المتخصصة في الأمن السيبراني.
على صعيد آخر، كشف تعاون بين إنتل وجوجل عن خمس ثغرات في وحدة Intel Trust Domain Extensions (TDX) 1.5، بالإضافة إلى عدد من نقاط الضعف واقتراحات التحسين. وتُعد هذه الثغرات مهمة لأن وحدة TDX تلعب دوراً في الحوسبة السرية (Confidential Computing).
توسيع نطاق الحماية: تحديثات من بائعين آخرين
تستمر قائمة شركات التكنولوجيا التي أصدرت تحديثات لتغطية مجموعة واسعة من الثغرات الأمنية. شملت الدفعة الأخيرة تحديثات من جهات مثل ABB، و Amazon Web Services، و AMD، و Apple، و Cisco، و Google (بما في ذلك Android و Chrome)، و IBM، و Intel، و Linux distributions المتعددة (مثل Ubuntu و Red Hat)، و Mozilla (Firefox و Thunderbird)، و NVIDIA، و Oracle، و Samsung، و Siemens، و VMware، و Zoom، وغيرها الكثير.
يهدف هذا الجهد الجماعي من شركات التكنولوجيا إلى تعزيز مستوى الأمن السيبراني بشكل عام، وتقديم حلول فعالة لحماية المستخدمين والشركات من الهجمات الإلكترونية المتطورة. تبرز أهمية المتابعة الدورية لهذه التحديثات لضمان استمرارية التصحيحات الأمنية وحماية الأنظمة من التهديدات.