سلطت الإصلاحات الطارئة خارج النطاق الصادرة عن شركتي تكنولوجيا المعلومات العملاقتين Microsoft وOracle الضوء على المشكلات المتعلقة بكليهما دورات التحديث والتصحيحوأمن الهوية وانعدام الثقة.
التحديث الطارئ لمايكروسوفت, KB5085516، يعالج مشكلة نشأت بعد تثبيت التحديثات التراكمية الإلزامية التي تم نشرها مباشرة على تصحيح الثلاثاء في وقت سابق من هذا الشهر.
وفقا لمايكروسوفت، ظهر منذ ذلك الحين أن العديد من المستخدمين واجهوا مشكلات في تسجيل الدخول إلى التطبيقات باستخدام حساب Microsoft، ورؤية رسالة الخطأ “لا يوجد إنترنت” على الرغم من أن الجهاز لديه اتصال فعال. وكان لهذا تأثير منع الوصول إلى خدمات وتطبيقات متعددة. تجدر الإشارة إلى أن المؤسسات التي تستخدم معرف Entra لم تواجه هذه المشكلة.
لكن تصحيح الطوارئ من Microsoft يأتي بعد أيام فقط من مضاعفة التزامها بجودة البرامج وموثوقيتها واستقرارها. في منشور مدونة تم نشره قبل 24 ساعة فقط من آخر تحديثوقال بافان دافولوري من فريق برنامج Windows Insider في Microsoft إن التحديثات يجب أن تكون “يمكن التنبؤ بها ويسهل التخطيط لها”.
“كان لدى مايكروسوفت [a] قال مايكل بيل، المؤسس والرئيس التنفيذي لشركة مختبرات سوزو. “نشر المدير التنفيذي لنظام Windows الخاص بهم مدونة تعد بتحسين الموثوقية والجودة في 20 مارس، وبحلول 21 مارس، كانوا يشحنون إصلاحًا طارئًا خارج النطاق لخلل في تسجيل الدخول قدمه التحديث الأمني الخاص بهم في مارس.
“هذا بالإضافة إلى التصحيحات السريعة المنفصلة لعيوب تنفيذ تعليمات برمجية عن بعد لـ RRAS وخطأ في رؤية Bluetooth. ثلاثة إصلاحات طارئة في ثمانية أيام لا تبشر بعصر الموثوقية.”
تصحيح أوراكل، وفي الوقت نفسه، العناوين CVE-2026-21992، عيب في تنفيذ التعليمات البرمجية عن بعد في مكون REST:WebServices في Oracle Identity Manager ومكون Web Services Security في Oracle Web Services Manager في Oracle Fusion Middleware. وهو يحمل درجة CVSS تبلغ 9.8 ويمكن استغلاله من قبل مهاجم غير مصادق له إمكانية الوصول إلى الشبكة عبر HTTP.
يبدو أنه لم تكن هناك تقارير عن استغلال نشط في وقت كتابة هذا التقرير، ولكن تمت مهاجمة العيوب البارزة السابقة في Oracle بسرعة – في العام الماضي، لفتت مشكلة RCE مماثلة في E-Business Suite انتباه المستخدمين الغزير الإنتاج. طاقم برامج الفدية Cl0p.
وأشار بيل إلى ذلك آخر، وربما ذات الصلة تمت إضافة مشكلة RCE للمصادقة المسبقة في Oracle Identity Manager – CVE-2025-61757 – إلى قائمة الثغرات الأمنية المستغلة المعروفة لدى وكالة الأمن السيبراني وأمن البنية التحتية في وقت قصير نظرًا لمدى تافهتها وسهولة استغلالها. وقال إن الخطأ الأخير قد يتبع نفس المسار.
قال بيل: “السبب الذي يجعل هذا الأمر أكثر أهمية من 9.8 هو الهدف”. “إن تنفيذ التعليمات البرمجية على منصة إدارة الهوية يعني أن المهاجم يمكنه إعادة كتابة سياسات الوصول التي تتحكم في بقية المؤسسة، وهذا يحول CVE واحد إلى وصول مستمر عبر الشبكة بأكملها.”
“ثقة متهالكة”
نويل موراتا، مهندس أمني كبير في اكسكيبوقال إن التحديثين التوأمين يوضحان “الثقة المتداعية في دورات التحديث التقليدية”.
وقالت: “عندما يتطلب Oracle Identity Manager، العقل الحقيقي لأمن المؤسسات، تصحيح RCE غير مصادق عليه، فإنه يثبت أن الأدوات التي نستخدمها لبناء انعدام الثقة غالبًا ما تكون أخطر نقاط الفشل الفردية لدينا”. “وفي الوقت نفسه، فإن حاجة Microsoft إلى إصدار تحديث أمني فقط لمنع المستخدمين من إلقاء الضوء على أخطاء الاتصال الوهمية، يسلط الضوء على فجوة الجودة الآخذة في الاتساع.”
أعرب موراتا عن أسفه للدورة التي تأتي فيها الخدمات الأمنية إما في شكل أبواب خلفية مثبتة مسبقًا أو مواطن الخلل التي تقتل الإنتاجية، ودعا الصناعة إلى المطالبة بما هو أكثر من مجرد تصحيح أسرع وأفضل إذا أرادت حماية المستخدمين حقًا.
وقالت: “نحن بحاجة إلى محور على مستوى الصناعة نحو تصميم بنيات مرنة لا تفشل عندما يصل طلب HTTP واحد إلى طبقة الهوية”. “إذا كانت الثقة المعدومة تعني أننا لا نستطيع الثقة في مدير الهوية ليظل آمنًا أو في نظام التشغيل للسماح لنا بتسجيل الدخول، فتهانينا؛ فقد حققت الصناعة هدفها أخيرًا.”
