روز سه شنبه 23 آذر ماه، شرکت مایکروسافت اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی دسامبر منتشر کرد.
به گزارش شرکت مهندسی شبکه گستر، شرکت مایکروسافت با عرضه 12 اصلاحیه در آخرین ماه میلادی سال 2016، در مجموع 48 آسیبپذیری را در سیستم عامل Windows، نرمافزار Office، مرورگرهای IE و Edge و نرم افزار NET Framework. ترمیم کرده است. نیمی از اصلاحیههای عرضه شده “حیاتی” (Critical) و نیمی دیگر “مهم” (Important) اعلام شدهاند. جزییات 3 مورد از آسیبپذیریهای ترمیم شده توسط این اصلاحیهها پیشتر بهصورت عمومی منتشر شده بود.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “مهم” برطرف و ترمیم میگردند.
اصلیترین ضعفهای امنیتی ترمیم شده با اصلاحیههای این ماه حاوی حداقل یکی از آسیبپذیریهای زیر هستند:
- اجرای از راه دور کد (Remote Code Execution): مهاجم با بهرهجویی از چنین ضعفی میتواند اقدام به اجرای از راه دور کد بر روی سیستم قربانی کند.
- ترفیع امتیازی (Privilege Escalation): با بهرهجویی از چنین ضعفی میتوان سطح دسترسی کاربر بر روی سیستم را به حد اعلاتری ارتقا داد.
- نشت اطلاعات (Information Disclosure): سوءاستفاده از این نوع آسیبپذیریها در نهایت منجر به نشت دادهها میشود.
- عبور از سد کنترل امنیتی (Security Feature Bypass): مهاجم از طریق این نوع ضعفها میتواند کنترل(های) امنیتی سیستم را دور بزند.
اصلاحیههای حیاتی
- MS16-144: طبق معمول اولین اصلاحیه این ماه نیز مربوط به مرورگر IE است. این اصلاحیه در مجموع 9 آسیبپذیری را در این مرورگر ترمیم میکند.
- MS16-145: دیگر اصلاحیه حیاتی این ماه نیز 11 آسیبپذیری را در مرورگر Edge برطرف میکند.
- MS16-146: آسیبپذیریهایی را در بخش Microsoft Graphics Component در سیستم عامل Windows ترمیم میکند.
- MS16-147: این اصلاحیه ضعفی را در بخش Uniscribe سیستم عامل Windows اصلاح میکند.
- MS16-148: چندین آسیبپذیری در نرمافزار Microsoft Office توسط این اصلاحیه ترمیم و اصلاح میشوند.
- MS16-154: نقاط ضعف نرمافزار Adobe Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف میکند.
اصلاحیههای مهم
- MS16-149: آسیبپذیریهایی را در بخشهای Crypto Driver و Installer سیستم عامل Windows ترمیم میکند.
- MS16-150: این اصلاحیه یک آسیبپذیری امنیتی را در بخش Secure Kernel Mode سیستم عامل Windows برطرف میکند.
- MS16-151:چندین آسیبپذیری در بخش Kernel-Mode Driver سیستم عامل Windows توسط این اصلاحیه ترمیم میشوند.
- MS16-152: این اصلاحیه نیز یک آسیبپذیری را در بخش Kernel سیستم عامل Windows برطرف میکند.
- MS16-153: این اصلاحیه ضعفی امنیتی را در بخش Common Log File System Driver سیستم عامل Windows برطرف میکند. آسیبپذیری ترمیم شده توسط این اصلاحیه مدیریت Windows Common Log File System را بهنحوی انجام میدهد که مهاجم میتواند با بهرهجویی از آن سبب بروز نشت دادهها شود.
- MS16-155: این اصلاحیه یک آسیبپذیری را در بخش Data Provider for SQL Server نرمافزار Microsoft .NET 4.6.2 Framework ترمیم میکند.
اطلاعات و جزئیات بیشتر درباره اصلاحیههای امنیتی ماه دسامبر را میتوان از اینجا دریافت و مطالعه کرد.