اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی جولای

۲۵ تیر ۱۳۹۸ | ۰۹:۰۵ کد : ۸۸۰۹ اخبار حوزه امنیت و فناوری اطلاعات

تعداد بازدید:۱۶۱۲

۱۸ تیر، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی جولای منتشر کرد. این اصلاحیه‌ها در مجموع، ۷۷ آسیب‌پذیری را در سیستم عامل Windows و برخی دیگر از محصولات مایکروسافت ترمیم می‌کنند.

درجه اهمیت ۱۵ مورد از آسیب پذیری‌های ترمیم شده توسط اصلاحیه‌های مذکور “حیاتی” (Critical) و ۶۲ مورد از آنها “بااهمیت” (Important) اعلام شده است. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند. از ۱۵ آسیب پذیری حیاتی این ماه، ۱۱ مورد آنها مرتبط با بخش Scripting Engine مرورگرهای شرکت مایکروسافت هستند. چهار مورد دیگر نیز هر کدام یکی از محصولات DHCP Server،و+GDI،وDot Net Framework و Azure DevOps Server/Team Foundation Server را تحت تأثیر قرار می‌دهند. دو مورد از آسیب پذیری‌های ترمیم شده توسط اصلاحیه‌های ماه جولای، از قبل از این توسط مهاجمان مورد بهره‌جویی مهاجمان قرار گرفته است. هر دوی این ضعف‌های امنیتی – با شناسه‌های CVE-2019-1132 و CVE-2019-0880 – مهاجم را قادر به ارتقای دسترسی خود بر روی سیستم قربانی می‌کنند. سوءاستفاده از آسیب پذیری‌های مذکور مستلزم داشتن دسترسی فیزیکی مهاجم به سیستم یا بهره‌جویی از آسیب‌پذیری دیگر برای دسترسی یافتن از راه دور به دستگاه قربانی است و به همین خاطر درجه “بااهمیت” – و نه “حیاتی” – به آنها اختصاص داده شده است. اما با توجه به مورد بهره‌جویی قرار گرفتن آنها نصب اصلاحیه‌های مربوطه با اولویت بالا توصیه می‌شود.

جزئیات پنج آسیب‌پذیری نیز پیش‌تر به‌صورت عمومی منتشر شده بود؛ گر چه خوشبختانه هیچ مورد بهره‌جویی تا قبل از عرضه اصلاحیه آنها در ۱۸ تیر گزارش نشده است. فهرست این آسیب‌پذیری‌ها به‌شرح زیر است:

CVE-2019-0865 – ضعفی که بهره‌جویی از آن موجب از کار اندازی سرویس (Denial of Service) در بخش SymCrypt سیستم عامل Windows می‌شود.
CVE-2018-15664 – اشکالی از نوع ترفیع امتیازی (Elevation of Privilege) که مهاجم با بهره‌جویی از آن در نسخه آسیب‌پذیر Docker قادر به ارتقای دسترسی خود خواهد بود.
CVE-2019-0962 – ضعفی در Azure Automation که سوءاستفاده از آن مهاجم را قادر به ترفیع دسترسی خود بر روی سیستم آسیب‌پذیر می‌کند.
CVE-2019-1068 – اشکالی در SQL Server که امکان اجرای کد بالقوه مخرب (Remote Code Execution) را برای مهاجم فراهم می‌کند.
CVE-2019-1129 – ضعفی در سیستم عامل Windows که به مهاجم امکان می‌دهد تا دسترسی خود را ارتقا دهد.

درجه همه موارد بالا “بااهیمت” گزارش شده است.

جدول زیر فهرست کامل اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی جولای را نمایش می‌دهد.

محصول	شناسه CVE	ملاحظات
NET Framework.	CVE-2019-1083	آسیب‌پذیری به حملات از کار اندازی سرویس
NET Framework.	CVE-2019-1113	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
NET Framework.	CVE-2019-1006	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
ASP.NET	CVE-2019-1075	آسیب‌پذیری به حملات جعل
Azure	CVE-2019-0962	آسیب‌پذیری به حملات ترفیع امتیازی
Azure DevOps	CVE-2019-1076	آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Azure DevOps	CVE-2019-1072	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Internet Explorer	CVE-2019-1063	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Browsers	CVE-2019-1104	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Exchange Server	ADV190021	آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Microsoft Exchange Server	CVE-2019-1136	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Exchange Server	CVE-2019-1137	آسیب‌پذیری به حملات جعل
Microsoft Graphics Component	CVE-2019-1118	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1119	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1117	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1127	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1116	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1120	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1124	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-0999	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Graphics Component	CVE-2019-1128	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1121	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1122	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1123	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1097	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1096	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1101	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1098	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1095	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1102	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics Component	CVE-2019-1100	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1094	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics Component	CVE-2019-1093	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Office	CVE-2019-1084	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Office	CVE-2019-1111	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Office	CVE-2019-1110	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Office	CVE-2019-1109	آسیب‌پذیری به حملات جعل
Microsoft Office	CVE-2019-1112	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Office SharePoint	CVE-2019-1134	آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Microsoft Scripting Engine	CVE-2019-1062	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1004	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1001	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1059	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1056	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1106	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1092	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1103	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2019-1107	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Windows	CVE-2019-1067	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-1074	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-1091	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Windows	CVE-2019-1082	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-0975	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Microsoft Windows	CVE-2019-1130	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-1129	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-1037	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-0880	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2019-0865	آسیب‌پذیری به حملات از کار اندازی سرویس
Microsoft Windows	CVE-2019-0785	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Windows	CVE-2019-0887	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Windows	CVE-2019-0966	آسیب‌پذیری به حملات از کار اندازی سرویس
Microsoft Windows	CVE-2019-1126	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Microsoft Windows DNS	CVE-2019-1090	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows DNS	CVE-2019-0811	آسیب‌پذیری به حملات از کار اندازی سرویس
Open Source Software	CVE-2018-15664	آسیب‌پذیری به حملات ترفیع امتیازی
Servicing Stack Updates	ADV990001	آخرین به‌روزرسانی‌های Servicing Stack
SQL Server	CVE-2019-1068	آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Visual Studio	CVE-2019-1077	آسیب‌پذیری به حملات ترفیع امتیازی
Visual Studio	CVE-2019-1079	آسیب‌پذیری به حملات نشت اطلاعات
Windows Kernel	CVE-2019-1073	آسیب‌پذیری به حملات نشت اطلاعات
Windows Kernel	CVE-2019-1132	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Kernel	CVE-2019-1071	آسیب‌پذیری به حملات نشت اطلاعات
Windows Kernel	CVE-2019-1089	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Media	CVE-2019-1086	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Media	CVE-2019-1088	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Media	CVE-2019-1087	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Media	CVE-2019-1085	آسیب‌پذیری به حملات ترفیع امتیازی
Windows RDP	CVE-2019-1108	آسیب‌پذیری به حملات نشت اطلاعات
Windows Shell	CVE-2019-1099	آسیب‌پذیری به حملات نشت اطلاعات

منبع خبر: شبکه گستر

اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی جولای

نظر شما :

اطلاعات تماس

‌‌‌‌اپلیکیشن موبایل دانشگاه تهران

آیین نامه ها

فرمها و الگوها

اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی جولای

نظر شما :

‌‌‌‌اپلیکیشن موبایل دانشگاه تهران