مایکروسافت امروز بهروزرسانیهای امنیتی خود برای ماه جولای ۲۰۱۸ میلادی را منتشر کرده که در آن ۵۳ آسیبپذیری وصله شده است. این آسیبپذیریها ویندوز، مرورگر اینترنت اکسپلورر، مرورگر اج مایکروسافت، ChakraCore، چارچوب .NET، ASP.NET، پاورشل، ویژوال استودیو، مایکروسافت آفیس، سرویسهای آفیس و ادوبی فلش پلیر را تحت تاثیر قرار داده است.
از ۵۳ آسیبپذیری، ۱۷ مورد حیاتی، ۳۴ مورد مهم و یک آسیبپذیری متوسط و دیگری با درجهی اهمیت پایین گزارش شده است. نکتهی جالب توجه در بهروزرسانیهای امنیتی این ماه این است که هیچ یک از آسیبپذیریهای حیاتی، سیستم عامل ویندوز را تحت تاثیر قرار ندادهاند و همچنین هیچ یک از آنها بهطور عمومی قبلا افشاء نشده و یا در حملات فعال مورد بهرهبرداری قرار نگرفتهاند.
بسیاری از آسیبپذیریهای حیاتی که این ماه وصله شدهاند، اشکالات خرابی حافظه محسوب میشوند که مرورگرهای اینترنت اکسپلورر، اج و ماشین اسکریپتینگ Chakra را تحت تاثیر قرار دادهاند. با بهرهبرداری موفق از این آسیبپذیری، یک مهاجم از راه دور و بدون نیاز به احراز هویت، میتواند در مفاد کاربر جاری، به اجرای کدهای دلخواه و مخرب خود بپردازد. اگر کاربری که وارد سیستم شده دارای امتیازات ادمین باشد، مهاجم با بهرهبرداری از آسیبپذیری، میتواند کنترل کل دستگاه را به دست گیرد و در ادامه برنامههای مخرب نصب کند، دادهها و اطلاعات را مشاهده و ویرایش کند و یک حساب کاربری جدید با تمامی دسترسیهای ایجاد کند.
یکی از آسیبپذیریهای حیاتی با شناسهی CVE-2018-8327، سرویسهای ویرایشگر پاورشل را تحت تاثیر قرار داده که مهاجم راه دور، با بهرهبرداری از آن میتواند بر روی سیستم آسیبپذیر به اجرای کدهای مخرب بپردازد. در ادامه فهرستی از آسیبپذیریهای حیاتی که مایکروسافت در محصولات مختلف وصله کرده را مشاهده میکنید:
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8242
- آسیبپذیری خرابی حافظه در مرورگر اج با شناسهی CVE-2018-8262
- آسیبپذیری خرابی حافظه در مرورگر اج با شناسهی CVE-2018-8274
- آسیبپذیری حرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8275
- آسیبپذیری حرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8279
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسهی CVE-2018-8280
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8283
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسهی CVE-2018-8286
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8288
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسهی CVE-2018-8290
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8291
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسهی CVE-2018-8294
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ با شناسهی CVE-2018-8296
- آسیبپذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسهی CVE-2018-8298
- آسیبپذیری خرابی حافظه در مرورگر مایکروسافت اج با شناسهی CVE-2018-8301
- آسیبپذیری افشای اطلاعات در مرورگر مایکروسافت اج با شناسهی CVE-2018-8324
- آسیبپذیری اجرای کد از راه دور در سرویسهای ویرایشگر پاورشل با شناسهی CVE-2018-8327
علاوه بر این آسیبپذیریهای حیاتی، مایکروسافت این ماه ۳۴ آسیبپذیری مهم دیگر را نیز وصله کرده که در ادامه باتوجه به هر محصول، آسیبپذیری موجود در آن گزارش شده است:
- مرورگر مایکروسافت اج: آسیبپذیری اجرای کد از راه دور، افشای اطلاعات، جعل و دور زدن ویژگیهای امنیتی
- مرورگر اینترنت اکسپلورر مایکروسافت: اجرای کد از راه دور، دور زدن ویژگیهای امنیتی
- مایکروسافت آفیس: دور زدن ویژگیهای امنیتی، اجرای کد از راه دور، ارتقاء امتیاز
- ویندوز ۱۰، ۸.۱، ۷ و ویندوز سرور ۲۰۰۸، ۲۰۱۲ و ۲۰۱۶: آسیبپذیری منع سرویس، دور زدن ویژگیهای امنیتی، ارتقاء امتیاز
- چارچوب .NET مایکروسافت: آسیبپذیری ارتقاء امتیاز، اجرای کد از راه دور
- مایکروسافت SharePoint: ارتقاء امتیاز، اجرای کد از راه دور
- محصول ChakraCore: اجرای کد از راه دور، دور زدن ویژگیهای امنیتی
- ویژوال استودیو: آسیبپذیری اجرای کد از راه دور
- محصول Expression Blend 4: آسیبپذیری اجرای کد از راه دور
- محصول ASP .NET: دور زدن ویژگیهای امنیتی
- سرویسهای ایمیل، تقویم و افراد در فروشگاه برنامههای کاربردی ویندوز ۸.۱: افشای اطلاعات
علاوه بر این وصلههای امنیتی، مایکروسافت بهروزرسانیهای امنیتی مربوط به محصولات شرکت ادوبی را نیز در بهروزرسانیهای خود گنجانده است. به تمامی کاربرانی که از محصولات مایکروسافت استفاده میکنند، اکیدا توصیه میشود هرچه سریعتر این وصلههای امنیتی را نصب کرده و اعمال کنند تا در معرض نفوذ مهاجمان سایبری قرار نگیرند. برای نصب بهروزرسانیها میتوانید مسیر Settings → Update & security → Windows Update → Check for updates را دنبال کنید و یا آنها را دستی نصب کنید.