नई दिल्ली : माइक्रोसॉफ्ट ने विभिन्न विंडोज़ उत्पादों को प्रभावित करने वाली 132 सुरक्षा कमजोरियों की पुष्टि की है. इनमें से छह का वर्तमान में शोषण किया जा रहा है, और सैंतीस दूरस्थ कोड निष्पादन कमजोरियाँ हैं. सैंतीस में से केवल नौ को माइक्रोसॉफ्ट द्वारा 'क्रिटिकल' माना गया. इन शून्य-दिन की कमजोरियों में से एक माइक्रोसॉफ्ट ऑफिस और विन्डोज एचटीएमएल के भीतर दूरस्थ कोड निष्पादन से संबंधित है.
इन 132 सुरक्षा कमजोरियों के लिए एक पैच जारी किया गया है. हालाँकि, आरसीई की खामियों में से एक अभी भी बरकरार है और कई साइबर सुरक्षा फर्मों द्वारा देखे गए विभिन्न साइबर हमलों में इसका फायदा उठाया जा रहा है. माइक्रोसॉफ्ट के अनुसार, इस भेद्यता के शोषण के लिए रोमकॉम नामक एक रूसी साइबर अपराध समूह को जिम्मेदार ठहराया गया है, जिसके बारे में माना जाता है कि इसका संबंध रूसी खुफिया एजेंसी से है. सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि रोमकॉम को विभिन्न लक्ष्यों के खिलाफ रैंसमवेयर हमले करने के लिए जाना जाता है.
सीवीई-2023-32046 शामिल:
विंडोज़ सिस्टम पर कई शून्य-दिन की कमजोरियों का सक्रिय रूप से शोषण किया जा रहा है. इनमें सीवीई-2023-32046 शामिल है, जो एमएसएचटीएमएल घटक को प्रभावित करता है और हमलावरों को कोड निष्पादित करने की अनुमति दे सकता है. एक अन्य भेद्यता विंडोज़ त्रुटि रिपोर्टिंग सेवा को प्रभावित करती है और व्यवस्थापकीय विशेषाधिकार प्रदान कर सकती है. अंत में, सीवीई-2023-32049 स्मार्टस्क्रीन सुविधा को प्रभावित करता है और इसे बायपास कर सकता है.
माइक्रोसॉफ्ट ऑफिस दस्तावेज़ों का उपयोग करके लक्षित हमले किए गए:
माइक्रोसॉफ्ट के विंडोज़ और ऑफिस उत्पादों को प्रभावित करने वाली रिमोट कोड निष्पादन कमजोरियों की एक श्रृंखला के संबंध में रिपोर्टें सामने आई हैं. माइक्रोसॉफ्ट वर्तमान में इन रिपोर्टों की जाँच कर रहा है, क्योंकि इन कमजोरियों का फायदा उठाने के लिए विशेष रूप से तैयार किए गए माइक्रोसॉफ्ट ऑफिस दस्तावेज़ों का उपयोग करके लक्षित हमले किए गए हैं.
आउट-ऑफ-बैंड सुरक्षा अपडेट जारी:
माइक्रोसॉफ्ट के अनुसार, सीवीई-2023-36884 अभी भी अनपैच किया गया है, लेकिन वे ग्राहकों को आश्वासन देते हैं कि जांच पूरी होने के बाद वे उनकी सुरक्षा के लिए उचित कार्रवाई करेंगे. यह संभावना है कि माइक्रोसॉफ्ट सक्रिय रूप से उपयोग की जाने वाली इस शून्य-दिन की भेद्यता को संबोधित करने के लिए अगले महीने के पैच मंगलवार रोलआउट तक प्रतीक्षा करने के बजाय एक आउट-ऑफ-बैंड सुरक्षा अपडेट जारी करेगा.