در به‌روزرسانی امینتی ماه جولای مایکروسافت، ۵۳ آسیب‌پذیری وصله شده است

در به‌روزرسانی امینتی ماه جولای مایکروسافت، ۵۳ آسیب‌پذیری وصله شده است

چهارشنبه, ۲۰ تیر, ۱۳۹۷ ساعت ۹:۴۶

 

مایکروسافت امروز به‌روزرسانی‌های امنیتی خود برای ماه جولای ۲۰۱۸ میلادی را منتشر کرده که در آن ۵۳ آسیب‌پذیری وصله شده است. این آسیب‌پذیری‌ها ویندوز، مرورگر اینترنت اکسپلورر، مرورگر اج مایکروسافت، ChakraCore، چارچوب .NET، ASP.NET، پاورشل، ویژوال استودیو، مایکروسافت آفیس، سرویس‌های آفیس و ادوبی فلش پلیر را تحت تاثیر قرار داده است.


از ۵۳ آسیب‌پذیری، ۱۷ مورد حیاتی، ۳۴ مورد مهم و یک آسیب‌پذیری متوسط و دیگری با درجه‌ی اهمیت پایین گزارش شده است. نکته‌ی جالب توجه در به‌روزرسانی‌های امنیتی این ماه این است که هیچ یک از آسیب‌پذیری‌های حیاتی، سیستم عامل ویندوز را تحت تاثیر قرار نداده‌اند و همچنین هیچ یک از آن‌ها به‌طور عمومی قبلا افشاء نشده و یا در حملات فعال مورد بهره‌برداری قرار نگرفته‌اند.


بسیاری از آسیب‌پذیری‌های حیاتی که این ماه وصله شده‌اند، اشکالات خرابی حافظه محسوب می‌شوند که مرورگرهای اینترنت اکسپلورر، اج و ماشین اسکریپتینگ Chakra را تحت تاثیر قرار داده‌اند. با بهره‌برداری موفق از این آسیب‌پذیری، یک مهاجم از راه دور و بدون نیاز به احراز هویت، می‌تواند در مفاد کاربر جاری، به اجرای کدهای دلخواه و مخرب خود بپردازد. اگر کاربری که وارد سیستم شده دارای امتیازات ادمین باشد، مهاجم با بهره‌برداری از آسیب‌پذیری، می‌تواند کنترل کل دستگاه را به دست گیرد و در ادامه برنامه‌های مخرب نصب کند، داده‌ها و اطلاعات را مشاهده و ویرایش کند و یک حساب کاربری جدید با تمامی دسترسی‌های ایجاد کند.


یکی از آسیب‌پذیری‌های حیاتی با شناسه‌ی CVE-2018-8327، سرویس‌های ویرایشگر پاورشل را تحت تاثیر قرار داده که مهاجم راه دور، با بهره‌برداری از آن می‌تواند بر روی سیستم آسیب‌پذیر به اجرای کدهای مخرب بپردازد. در ادامه فهرستی از آسیب‌پذیری‌های حیاتی که مایکروسافت در محصولات مختلف وصله کرده را مشاهده می‌کنید:

  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8242
  • آسیب‌پذیری خرابی حافظه در مرورگر اج با شناسه‌ی CVE-2018-8262
  • آسیب‌پذیری خرابی حافظه در مرورگر اج با شناسه‌ی CVE-2018-8274
  • آسیب‌پذیری حرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8275
  • آسیب‌پذیری حرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی  CVE-2018-8279
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسه‌ی CVE-2018-8280
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8283
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسه‌ی CVE-2018-8286
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8288
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسه‌ی CVE-2018-8290
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8291
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسه‌ی CVE-2018-8294
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ با شناسه‌ی CVE-2018-8296
  • آسیب‌پذیری خرابی حافظه در ماشین اسکریپتینگ Chakra با شناسه‌ی CVE-2018-8298
  • آسیب‌پذیری خرابی حافظه در مرورگر مایکروسافت اج با شناسه‌ی CVE-2018-8301
  • آسیب‌پذیری افشای اطلاعات در مرورگر مایکروسافت اج با شناسه‌ی CVE-2018-8324
  • آسیب‌پذیری اجرای کد از راه دور در سرویس‌های ویرایشگر پاورشل با شناسه‌ی CVE-2018-8327

علاوه بر این آسیب‌پذیری‌های حیاتی، مایکروسافت این ماه ۳۴ آسیب‌پذیری مهم دیگر را نیز وصله کرده که در ادامه باتوجه به هر محصول، آسیب‌پذیری موجود در آن گزارش شده است:

  • مرورگر مایکروسافت اج: آسیب‌پذیری اجرای کد از راه دور، افشای اطلاعات، جعل و دور زدن ویژگی‌های امنیتی
  • مرورگر اینترنت اکسپلورر مایکروسافت: اجرای کد از راه دور، دور زدن ویژگی‌های امنیتی
  • مایکروسافت آفیس: دور زدن ویژگی‌های امنیتی، اجرای کد از راه دور، ارتقاء امتیاز
  • ویندوز ۱۰، ۸.۱، ۷ و ویندوز سرور ۲۰۰۸، ۲۰۱۲ و ۲۰۱۶: آسیب‌پذیری منع سرویس، دور زدن ویژگی‌های امنیتی، ارتقاء امتیاز
  • چارچوب .NET مایکروسافت: آسیب‌پذیری ارتقاء امتیاز، اجرای کد از راه دور
  • مایکروسافت SharePoint: ارتقاء امتیاز، اجرای کد از راه دور
  • محصول ChakraCore: اجرای کد از راه دور، دور زدن ویژگی‌های امنیتی
  • ویژوال استودیو: آسیب‌پذیری اجرای کد از راه دور
  • محصول Expression Blend 4: آسیب‌پذیری اجرای کد از راه دور
  • محصول ASP .NET: دور زدن ویژگی‌های امنیتی
  • سرویس‌های ایمیل، تقویم و افراد در فروشگاه برنامه‌های کاربردی ویندوز ۸.۱: افشای اطلاعات


علاوه بر این وصله‌های امنیتی، مایکروسافت به‌روزرسانی‌های امنیتی مربوط به محصولات شرکت ادوبی را نیز در به‌روزرسانی‌های خود گنجانده است. به تمامی کاربرانی که از محصولات مایکروسافت استفاده می‌کنند، اکیدا توصیه می‌شود هرچه سریع‌تر این وصله‌های امنیتی را نصب کرده و اعمال کنند تا در معرض نفوذ مهاجمان سایبری قرار نگیرند. برای نصب به‌روزرسانی‌ها می‌توانید مسیر Settings → Update & security → Windows Update → Check for updates را دنبال کنید و یا آن‌ها را دستی نصب کنید.

 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − 9 =