အရေးကြီးသော အားနည်းချက် (၂)မျိုးကို ပြုပြင်ဖာထေးရန်အတွက် အရေးပေါ် Windows Update ကို Microsoft မှ ထုတ်ပြန်

Image
1

သန်းရာချီသော Window 10 နှင့် Server Edition အသုံးပြုသူများကို ထိခိုက်စေနိုင်မည့် ပျက်စီး ထိခိုက်နိုင်မှုမြင့်မားသည့် လုံခြုံရေးအားနည်းချက် နှစ်မျိုးကို ပြုပြင်ဖာထေးနိုင်ရန်အတွက် Microsoft မှ Out-of-band Software Updates ကို ယမန်နေ့က တိတ်တဆိတ် ထုတ်ပြန်ခဲ့သည်။

လစဉ်ပုံမှန်ထုတ်ပြန်နေကြဖြစ်သည့် ဇူလိုင်လ ၁၄ ရက်နေ့တွင် လျာထားသော “ပြင်ဆင်ပြုပြင်ရန် အင်္ဂါနေ့ အသစ်ထွက်ရှိမှုများ- Patch Tuesday Updates” မတိုင်ခင် နှစ်ပတ်အလိုတွင် Microsoft က ပြုပြင်ပြင်ဆင်ချက်များကို အရေးပေါ်ထုတ်ပြန်လိုက်ခြင်းဖြစ်ကြောင်း မှတ်သားသင့်ပါသည်။

၎င်းအားနည်းချက်နှစ်ခုလုံးသည် Windows Codecs Library ပေါ်တွင် တည်မှီပြီး၊ လူမှုကွန်ယက် သားကောင်များထံ အင်တာနက်မှ download ရယူထားသော အဖျက်အမှောင့် မီဒီယာဖိုင်များကို အလုပ်လုပ်စေခြင်းဖြင့် လွယ်ကူစွာ တိုက်ခိုက်နိုင်မည့်အချက် ဖြစ်နေခြင်းကြောင့်ဟု ယူဆရပါသည်။

သတိမမူမိသူများအတွက် Codecs သည် Window OS များတွင် များစွာသော အသံနှင့် ဗီဒီယိုဖိုင် extension များကို ဖွင့်ရန်၊ ချုံ့ရန်နှင့် ဖြည်ရန် ကူညီပေးနိုင်သည့် အထောက်အပံ့ libraries များကို စုစည်းထားခြင်းဖြစ်သည်။

CVE-2020-1425 နှင့် CVE-2020-1457 ဟု သတ်မှတ်ထားသည့် ယခုထွက်ပေါ်လာသော လုံခြုံရေးအားနည်းချက်အသစ် နှစ်ခုသည် အဝေးမှ ကုတ်ဖြင့် ခိုင်းစေနိုင်သည့် ချို့ယွင်းချက်များပင် ဖြစ်သည်။ ဆိုလိုသည်မှာ - တိုက်ခိုက်သူက အဝေးမှနေကာ arbitrary code ကို အလုပ်လုပ်စေပြီး၊ ထိန်းချုပ်ခံ Windows ကွန်ပျူတာများအား ညွှန်ကြားထိန်းချုပ်ခြင်းကို ဆောင်ရွက်နိုင်မည်ဖြစ်သည်။

Microsoft ၏ ပြောကြားချက်အရ ၎င်းအဝေးကထိန်းချုပ်အလုပ်လုပ်စေနိုင်သည့် အားနည်းချက် နှစ်ခုစလုံးသည် Microsoft Window Codec Library က မှတ်ဉာဏ်အတွင်းတွင် အရာဝတ္ထုများကို ကိုင်တွယ်သည့်နည်းလမ်းအပေါ် တည်မှီနေပါသည်။

သို့ရာတွင် ၎င်းအားနည်းချက်နှစ်ခုဖြင့် ထိုးဖောက်တိုက်ခိုက်ရန်အတွက် တိုက်ခိုက်သူအနေဖြင့် ထိခိုက်နိုင်ခြေရှိသော Window စနစ်ကို အသုံးပြုနေသူအား Built-in ပါရှိသော Windows Codec Library ကို အသုံးပြုသည့် မည်သည့်အက်ပလီကေးရှင်းအမျိုးအစားကိုမဆို အလုပ်လုပ်စေမည့် အထူးတလည်ဖန်တီးထားသော image ပုံဖိုင်တစ်ခုအား ကလစ်နှိပ်လိုက်စေရန် လှည့်စားရမည် ဖြစ်သည်။

ယင်းနှစ်ခုအနက် CVE-2020-1425 သည် ပိုမိုအဓိကကျသည်မှာ အောင်မြင်စွာ ထိုးဖောက်ဝင်ရောက် ပြီးနောက် တိုက်ခိုက်သူသည် တိုက်ခိုက်ခံရသော သုံးစွဲသူ၏စနစ်ကို ဆက်လက် ထိန်းချုပ်နိုင်ရန် အတွက် အချက်အလက်အားလုံးကို သိမ်းပိုက်ရယူနိုင်သွားခြင်းကြောင့်ပင် ဖြစ်သည်။

ဒုတိယအားနည်းချက်ဖြစ်သော CVE-2020-1457 သည် အရေးကြီးအဆင့်ဟု သတ်မှတ်ပြီး၊ ၎င်းသည် တိုက်ခိုက်သူကို အတိုက်ခိုက်ခံရသည့် Window စနစ်အတွင်း Arbitrary Code ကို အလုပ်လုပ် စေနိုင်ရန် ခွင့်ပြုပေးသည်။

သို့ရာတွင် Microsoft မှ အရေးပေါ်ပြင်ဆင်ချက် ထုတ်ပြန်သည့်အချိန်တိုင်အောင် ၎င်းလုံခြုံရေး အားနည်းချက်နှစ်ခုလုံးကို အများပြည်သူသိရှိနိုင်စေရန် အသိပေးတင်ပြခြင်း မရှိသည့်အပြင် တိုက်ခိုက် သူများအနေဖြင့် ထိုးဖောက်တိုက်ခိုက်မှု ဆက်လက်လုပ်ကိုင်နေဆဲဖြစ်သည်။

အကြံပေးများ၏ ပြောကြားချက်အရ ၎င်းလုံခြုံရေးအားနည်းချက်နှစ်ခုလုံးကို Abdul-Aziz Hariri ၏ Trend Micro’s Zero Day Initiative အရ အောက်ပါ OS များကို တိုက်ခိုက်နိုင်ကြောင်း Microsoft ထံ သတင်းပို့ခဲ့ပါသည်။

  • Windows 10 version 1709
  • Windows 10 version 1803
  • Windows 10 version 1809
  • Windows 10 version 1903
  • Windows 10 version 1909
  • Windows 10 version 2004
  • Windows Server 2019
  • Windows Server version 1803
  • Windows Server version 1903
  • Windows Server version 1909
  • Windows Server version 2004

Microsoft က ၎င်းအားနည်းချက်အတွက် မည်သည့်ဖြေရှင်းချက်ကိုမျှ သတိမူဆောင်ရွက်ခြင်း မရှိခဲ့သောကြောင့် တိုက်ခိုက်သူများက ထိုးဖောက်ဝင်ရောက်တိုက်ခိုက်ခြင်း၊ စနစ်အား သိမ်းပိုက် ထိန်းချုပ်ခြင်းမပြုမီ ပြုပြင်ပြင်ဆင်ချက်အသစ်ကို ဆောင်ရွက်ရန် Windows သုံးစွဲသူများကို ခိုင်မာစွာ အကြံပြုထားသည်။

သို့သော် ကုမ္ပဏီအနေဖြင့် Out-of-band လုံခြုံရေး Updates များကို Microsoft Store မှတဆင့် ထုတ်ဝေလျှက်ရှိရာ ထိခိုက်ခံရသော သုံးစွဲသူများအနေဖြင့် မည်သည့်လုပ်ဆောင်ချက်မှ ပြုလုပ်ရန် မလိုဘဲ အလိုအလျောက် ပြင်ဆင်ပြုပြင်နိုင်သည်။

တနည်းအားဖြင့် အကယ်၍ သင့်အနေဖြင့် နာရီအနည်းငယ် သို့မဟုတ် တစ်ရက်ခန့် စောင့်ဆိုင်းလိုခြင်း မရှိပါက Microsoft Store တွင် အသစ်ထွက်ရှိချက်များကို စစ်ဆေးကာ သင့်ကိုယ်တိုင် ပြုပြင်ဖာထေး ပြင်ဆင်ချက်များကို ချက်ခြင်းထည့်သွင်းနိုင်ပါသည်။