الحقن برموز معينة تجاوز قيود واجهة مستخدم المدخل في التحديث التراكمي 13 لحزمة Windows Azure


الأعراض


توجد ثغرة أمنية في التحديث التراكمي 13 لحزمة Windows Azure (WAP) يؤدي الحقن برموز معينة لتجاوز قيود واجهة مستخدم المدخل. المدخل واجهة تقييد رموز معينة مثل أكبر من (<) وأقل من (& > &) الرموز التي تحتاجها "< >" الحقن.

يمكن إرسال السلاسل التي تحتوي على أحرف مثل و > بإعادة طلب في Fiddler، كاسم الاشتراك. يمكن تعيين حقل سوبسكريبتيونامي لأي سلسلة حتى 128 حرفاً. في هذا السيناريو، يمكنك تحميل وتشغيل البرامج النصية المختلفة مثل < script src = "https://code.jquery.com/jquery-1.10.2.min.js" > أو alert(document.cookie) < البرنامج النصي > </script >.

لمزيد من المعلومات حول هذه الثغرة الأمنية، راجع التعرض CVE 2018 8652 ونقاط الضعف المشتركة ل Microsoft.

الحل


معلومات التنزيل

تتوفر حزم التحديث لحزمة Windows Azure من Microsoft Update أو من خلال تنزيل يدوي.

Microsoft Update

يتوفر تحديث الأمان هذا من خلال Windows Update. عند تشغيل التحديث التلقائي، سيتم تحميل تحديث الأمان هذا وتثبيته تلقائياً. لمزيد من المعلومات حول كيفية الحصول على التحديثات تلقائياً، راجع تحديث Windows: الأسئلة المتداولة حول.

تنزيل حزمة التحديث اليدوي

انتقل إلى موقع ويب لتنزيل حزمة التحديث الأمني يدوياً من كتالوج تحديث Microsoft التالية: