مایکروسافت در به‌روزرسانی‌های امنیتی این ماه، ۵۰ آسیب‌پذیری را وصله کرد

در به روزرسانی امنیتی شرکت مایکروسافت که سه شنبه ی این هفته برای ماه فوریه منتشر شد، ۵۰ آسیب پذیری در ویندوز، آفیس و مرورگرهای این شرکت وصله شده است و در این فهرست تاکنون هیچ آسیب پذیری روز-صفرم مشاهده نشده است. 


۱۴ مورد از این آسیب پذیری ها حیاتی هستند که می توان به آسیب پذیری افشای اطلاعات در مرورگر اج، خرابی حافظه در اوت لوک، یک آسیب پذیری اجرای کد از راه دور در مولفه ی StructuredQuery ویندوز و چندین آسیب‌پذیری خرابی حافظه در ماشین‌های اسکریپتینگ مربوط به مرورگرهای اج و اینترنت اکسپلورر اشاره کرد.


یکی از این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-0771 قبل از انتشار وصله‌ها توسط مایکروسافت، به‌طور عمومی افشاهء شده بود. این آسیب‌پذیری قوانین SOP را دور می‌زند. این قوانین در مرورگر اج کمک می‌کند تا مرورگر بتواند درخواست‌ها از مبداهای مختلف را مدیریت کند. این شرکت اشاره کرده که این آسیب‌پذیری قابلیت بهره‌برداری در حملات آتی را دارد.


دو مورد از آسیب‌پذیری‌های مهم، دو اشکال در اوت‌لوک هستند که توسط محققان شرکت مایکروسافت کشف شده است. یکی از این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-0852 می‌تواند با باز کردن یک فایل جعلی در اوت‌لوک مورد بهره‌برداری قرار بگیرد. مهاجم در ادامه می‌تواند در نشستی که به قربانی تعلق دارد، به اجرای کدهای دلخواه خود بپردازد.


نکته‌ای که این برنامه را در معرض این آسیب‌پذیری قرار می‌دهد، پنل پیش‌نمایش است که از طریق آن کد نیز اجرا می‌شود. برای بهره‌برداری از این آسیب‌پذیری نیازی نیست تا قربانی در اوت‌لوک فایلی را دانلود و یا باز کند بلکه کافی است آن را از بخش پیش‌نمایش مشاهده کند. 


آسیب‌پذیری دیگر در اوت‌لوک دارای شناسه‌ی CVE-2018-0850 و یک اشکال ارتقاء امتیاز محسوب می‌شود. با بهره‌برداری از این آسیب‌پذیری، مهاجم اوت‌لوک را مجبور می‌کند تا یک پیام محلی و یا راه دور را بار کند. این آسیب‌پذیری با ارسال یک ایمیل جعلی به قربانی قابل بهره‌برداری است. 


در به‌روزرسانی امنیتی مایکروسافت ۳۴ آسیب‌پذیری مهم و ۲ آسیب‌پذیری متوسط دیگر نیز وصله شده است. اوایل این ماه نیز مایکروسافت مولفه‌های ادوبی فلش‌پلیر را به‌روزرسانی کرد تا ۲ آسیب‌پذیری را وصله کند. گفته می‌شد یکی از این آسیب‌پذیری‌ها روز-صفرم بوده و در حملاتی توسط کره‌ی شمالی مورد بهره‌برداری قرار گرفته است. شرکت ادوبی نیز در به‌روزرسانی‌های این ماه خود، ۴۱ آسیب‌پذیری را در آکروبات، ریدر و محصولات Experience Manager وصله کرده است.
 

منبع

پست‌های مشابه

Leave a Comment