تشير تصحيحات Microsoft وOracle الطارئة إلى مشكلات إلكترونية أوسع نطاقًا
سلطت الإصلاحات الطارئة خارج النطاق التي أصدرتها شركات تكنولوجيا المعلومات العملاقة Microsoft وOracle الضوء على المشكلات المتعلقة بدورات التحديث والتصحيح وأمن الهوية وانعدام الثقة.
يعالج التحديث الطارئ من Microsoft، KB5085516، مشكلة نشأت بعد تثبيت التحديثات التراكمية الإلزامية التي تم نشرها مباشرة على تصحيح الثلاثاء في وقت سابق من هذا الشهر.
وفقًا لمايكروسوفت، فقد ظهر منذ ذلك الحين أن العديد من المستخدمين واجهوا مشكلات في تسجيل الدخول إلى التطبيقات باستخدام حساب مايكروسوفت، ورؤية رسالة خطأ “لا يوجد إنترنت” على الرغم من أن الجهاز كان به اتصال فعال. وكان لهذا تأثير منع الوصول إلى خدمات وتطبيقات متعددة. تجدر الإشارة إلى أن المؤسسات التي تستخدم معرف Entra لم تواجه هذه المشكلة.
لكن تصحيح الطوارئ من Microsoft يأتي بعد أيام فقط من مضاعفة التزامها بجودة البرامج وموثوقيتها واستقرارها. وفي منشور بالمدونة تم نشره قبل 24 ساعة فقط من التحديث الأخير، قال بافان دافولوري من فريق برنامج Windows Insider التابع لشركة Microsoft، إن التحديثات يجب أن تكون “قابلة للتنبؤ بها وسهلة التخطيط لها”.
“كان لدى مايكروسوفت [a] قال مايكل بيل، المؤسس والرئيس التنفيذي لشركة Suzu Labs: “لقد نشر مدير Windows التنفيذي الخاص بهم مدونة تعد بتحسين الموثوقية والجودة في 20 مارس، وبحلول 21 مارس، كانوا يشحنون إصلاحًا طارئًا خارج النطاق لخلل في تسجيل الدخول قدمه التحديث الأمني الخاص بهم في مارس.
“هذا بالإضافة إلى التصحيحات السريعة المنفصلة لعيوب تنفيذ تعليمات برمجية عن بعد لـ RRAS وخطأ في رؤية Bluetooth. ثلاثة إصلاحات طارئة في ثمانية أيام لا تبشر بعصر الموثوقية.”
وفي الوقت نفسه، يعالج تصحيح Oracle CVE-2026-21992، وهو خلل في تنفيذ التعليمات البرمجية عن بعد في REST: مكون WebServices في Oracle Identity Manager ومكون Web Services Security في Oracle Web Services Manager في Oracle Fusion Middleware. وهو يحمل درجة CVSS تبلغ 9.8 ويمكن استغلاله من قبل مهاجم غير مصادق له إمكانية الوصول إلى الشبكة عبر HTTP.
يبدو أنه لم تكن هناك تقارير عن استغلال نشط في وقت كتابة هذا التقرير، ولكن العيوب البارزة السابقة في Oracle تمت مهاجمتها بسرعة – في العام الماضي، لفتت مشكلة RCE مماثلة في E-Business Suite انتباه طاقم برنامج الفدية Cl0p الغزير الإنتاج.
أشار بيل إلى أنه قد تمت إضافة مشكلة RCE أخرى ذات صلة بالمصادقة المسبقة في Oracle Identity Manager – CVE-2025-61757 – إلى قائمة الثغرات الأمنية المستغلة المعروفة لدى وكالة الأمن السيبراني وأمن البنية التحتية في وقت قصير نظرًا لمدى تافهتها وسهولة استغلالها. وقال إن الخطأ الأخير قد يتبع نفس المسار.
قال بيل: “السبب الذي يجعل هذا الأمر أكثر أهمية من 9.8 هو الهدف”. “إن تنفيذ التعليمات البرمجية على منصة إدارة الهوية يعني أن المهاجم يمكنه إعادة كتابة سياسات الوصول التي تتحكم في بقية المؤسسة، وهذا يحول CVE واحد إلى وصول مستمر عبر الشبكة بأكملها.”
“ثقة متهالكة”
وقالت نويل موراتا، كبيرة مهندسي الأمن في Xcape، إن التحديثين التوأمين يوضحان “الثقة المتداعية في دورات التحديث التقليدية”.
وقالت: “عندما يتطلب Oracle Identity Manager، العقل الحقيقي لأمن المؤسسات، تصحيح RCE غير مصادق عليه، فإنه يثبت أن الأدوات التي نستخدمها لبناء انعدام الثقة غالبًا ما تكون أخطر نقاط الفشل الفردية لدينا”. “وفي الوقت نفسه، فإن حاجة Microsoft إلى إصدار تحديث أمني فقط لمنع المستخدمين من إلقاء الضوء على أخطاء الاتصال الوهمية، يسلط الضوء على فجوة الجودة الآخذة في الاتساع.”
أعرب موراتا عن أسفه للدورة التي تأتي فيها الخدمات الأمنية إما في شكل أبواب خلفية مثبتة مسبقًا أو مواطن الخلل التي تقتل الإنتاجية، ودعا الصناعة إلى المطالبة بما هو أكثر من مجرد تصحيح أسرع وأفضل إذا أرادت حماية المستخدمين حقًا.
وقالت: “نحن بحاجة إلى محور على مستوى الصناعة نحو تصميم بنيات مرنة لا تفشل عندما يصل طلب HTTP واحد إلى طبقة الهوية”. “إذا كانت الثقة المعدومة تعني أننا لا نستطيع الثقة في مدير الهوية ليظل آمنًا أو في نظام التشغيل للسماح لنا بتسجيل الدخول، فتهانينا؛ فقد حققت الصناعة هدفها أخيرًا.”
رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.
