اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی فوریه

۲۷ بهمن ۱۳۹۷ | ۱۱:۳۳ کد : ۷۵۶۹ اخبار حوزه امنیت و فناوری اطلاعات
تعداد بازدید:۱۷۵۷
سه‌شنبه ۲۳ بهمن ماه، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی فوریه منتشر کرد.

این اصلاحیه‌ها در مجموع، ۷۰ آسیب‌پذیری را در سیستم عامل Windows و برخی دیگر از محصولات مایکروسافت ترمیم می‌کنند. درجه اهمیت ۱۸ مورد از آسیب پذیری‌های ترمیم شده توسط این اصلاحیه‌ها “حیاتی” (Critical) و ۴۹ مورد از آنها “بااهمیت” (Important) اعلام شده است. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند. بر طبق توضیحات مایکروسافت مهاجمان در حال بهره‌جویی از یکی از آسیب پذیری‌های ترمیم شده توسط این اصلاحیه‌ها با شناسه CVE-2019-0676 در مرورگر Internet Explorer هستند. این آسیب‌پذیری که از نوع “نشت داده” (Information Disclosure) است پیش‌تر توسط گروه Project Zero شرکت گوگل کشف و شناسایی شده بود. با توجه به مورد بهره‌جویی قرار گرفتن این آسیب‌پذیری، نصب اصلاحیه آن با اولویت بالا توصیه اکید می‌شود. همچنین اصلاحیه‌های این ماه شامل یک به‌روزرسانی امنیتی است که ضعف موسوم به PrivExchange را در سرویس‌دهنده Microsoft Exchange ترمیم و اصلاح می‌کند. ضعف مذکور که حدود دو هفته از افشای عمومی جزئیات آن می‌گذرد از نوع “ترفیع امتیازی” (Privilege Escalation) است و در نسخه ۲۰۱۳ و نسخه‌های بعد از آن در نرم‌افزار Microsoft Exchange مهاجم را قادر به ارتقای سطح دسترسی خود به‌صورت از راه دور بر روی سرور می‌کند. هفته گذشته نیز مایکروسافت اقدام به انتشار یک توصیه‌نامه برای پوشش موقت این ضعف کرده بود.از دیگر نکات قابل توجه در خصوص اصلاحیه‌های ماه فوریه مایکروسافت، ترمیم یک آسیب‌پذیری حیاتی با شناسه CVE-2019-0626 در سرویس‌دهنده DHCP است. مهاجم با ارسال یک بسته (Packet) دستکاری شده به سرویس‌دهنده آسیب‌پذیر قادر به اجرای کد به‌صورت از راه دور بر روی آن سرور خواهد بود. این ضعف امنیتی از نحوه مدیریت بسته‌های شبکه‌ای توسط سرویس‌دهنده DHCP در سیستم عامل Windows ناشی می‌شده است.

جدول زیر فهرست کامل اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی فوریه را نمایش می‌دهد.

شرح

شناسه

درجه اهیمت

اصلاحیه‌های ماه فوریه شرکت ادوبی برای نرم‌افزار Flash Player؛ این اصلاحیه‌ها نقاط ضعف نرم‌افزار Flash Player را که در نسخه‌های جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف می‌کنند.

ADV190003

توصیه‌نامه برای پوشش آسیب‌پذیری مجوز غیرمجاز در Active Directory

ADV190006

آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی در Microsoft Office

CVE-2019-0540

بااهمیت

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0590

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0591

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0593

حیاتی

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft SharePoint

CVE-2019-0594

حیاتی

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0595

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0596

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0597

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0598

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0599

بااهمیت

آسیب‌پذیری به حملات نشت داده در HID

CVE-2019-0600

بااهمیت

آسیب‌پذیری به حملات نشت داده در HID

CVE-2019-0601

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0602

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft SharePoint

CVE-2019-0604

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0605

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Internet Explorer

CVE-2019-0606

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0607

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0610

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در NET Framework and Visual Studio.

CVE-2019-0613

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0615

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0616

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در +GDI

CVE-2019-0618

حیاتی

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0619

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows Kernel

CVE-2019-0621

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Win32k

CVE-2019-0623

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Jet Database Engine

CVE-2019-0625

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Windows DHCP Server

CVE-2019-0626

حیاتی

آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی در Windows

CVE-2019-0627

بااهمیت

آسیب‌پذیری به حملات نشت داده در Win32k

CVE-2019-0628

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Windows SMB

CVE-2019-0630

بااهمیت

آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی در Windows

CVE-2019-0631

بااهمیت

آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی در Windows

CVE-2019-0632

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Windows SMB

CVE-2019-0633

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows Hyper-V

CVE-2019-0635

بااهمیت

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0640

حیاتی

آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی در Microsoft Edge

CVE-2019-0641

متوسط

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0642

حیاتی

آسیب‌پذیری به حملات نشت داده در Microsoft Edge

CVE-2019-0643

متوسط

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Microsoft Edge

CVE-2019-0645

حیاتی

آسیب‌پذیری به حملات نشت داده در Scripting Engine

CVE-2019-0648

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Scripting Engine

CVE-2019-0649

بااهمیت

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Microsoft Edge

CVE-2019-0650

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0651

حیاتی

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0652

حیاتی

آسیب‌پذیری به حملات دست‌درازی به داده در Microsoft Browser

CVE-2019-0654

بااهمیت

آسیب‌پذیری به حملات ایجاد اختلال در حافظه در Scripting Engine

CVE-2019-0655

حیاتی

آسیب‌پذیری به حملات ترفیع امتیازی در Windows Kernel

CVE-2019-0656

بااهمیت

آسیب‌پذیری به حملات دست‌درازی به داده در NET Framework and Visual Studio.

CVE-2019-0657

بااهمیت

آسیب‌پذیری به حملات نشت داده در Scripting Engine

CVE-2019-0658

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Windows Storage Service

CVE-2019-0659

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0660

بااهمیت

آسیب‌پذیری به حملات نشت داده در Windows Kernel

CVE-2019-0661

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در +GDI

CVE-2019-0662

حیاتی

آسیب‌پذیری به حملات نشت داده در Windows GDI

CVE-2019-0664

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Microsoft SharePoint

CVE-2019-0668

بااهمیت

آسیب‌پذیری به حملات نشت داده در Microsoft Excel

CVE-2019-0669

بااهمیت

آسیب‌پذیری به حملات دست‌درازی به داده در Microsoft SharePoint

CVE-2019-0670

متوسط

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft Office Access Connectivity Engine

CVE-2019-0671

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft Office Access Connectivity Engine

CVE-2019-0672

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft Office Access Connectivity Engine

CVE-2019-0673

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft Office Access Connectivity Engine

CVE-2019-0674

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Microsoft Office Access Connectivity Engine

CVE-2019-0675

بااهمیت

آسیب‌پذیری به حملات نشت داده در Internet Explorer

CVE-2019-0676

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Microsoft Exchange Server

CVE-2019-0686

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Microsoft Exchange Server

CVE-2019-0724

بااهمیت

آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور در Visual Studio Code

CVE-2019-0728

بااهمیت

آسیب‌پذیری به حملات ترفیع امتیازی در Azure IoT Java SDK

CVE-2019-0729

بااهمیت

آسیب‌پذیری به حملات نشت داده در Azure IoT Java SDK

CVE-2019-0741

بااهمیت

آسیب‌پذیری به تزریق اسکریپت از طریق سایت در Team Foundation Server

CVE-2019-0742

بااهمیت

آسیب‌پذیری به تزریق اسکریپت از طریق سایت در Team Foundation Server

CVE-2019-0743

بااهمیت

منبع خبر: شبکه گستر

کلید واژه ها: اصلاحیه امنیتی


نظر شما :

توجه! لطفا دیدگاه خود پیرامون این مطلب را در این قسمت درج نمایید و برای ارسال سایر درخواست ها و پیام ها به بخش تماس با ما مراجعه فرمایید.