آخرین اصلاحیههای ماهانه مایکروسافت در سال 2017
به گزارش شرکت مهندسی شبکه گستر، سهشنبه، 21 آذر ماه، شرکت مایکروسافت آخرین اصلاحیههای امنیتی ماهانه خود را در سال 2017 عرضه کرد. این اصلاحیهها در مجموع 34 آسیبپذیری را در سیستم عامل Windows و محصولات زیر ترمیم میکنند:
- Microsoft Office
- Microsoft Office Services and Web Apps
- Microsoft Exchange Server
- Microsoft Malware Protection Engine
- Internet Explorer
- Microsoft Edge
از این بین، درجه اهمیت 20 آسیبپذیری “حیاتی” (Critical) و 14 ضعف امنیتی “بااهمیت” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “بااهمیت” برطرف و ترمیم میگردند.
خوشبختانه جزئیات هیچ یک از این آسیبپذیریهای ترمیم شده پیشتر بصورت عمومی فاش نشده و سوءاستفاده مهاجمان از هیچ کدام از آنها گزارش نشده است. هر چند که مطابق معمول، چند روز پس از عرضه شدن اصلاحیههای ماهانه مایکروسافت جزئیات برخی از ضعفهای ترمیم شده بصورت عمومی منتشر میشود.
همچنین آسیبپذیریهایی در بخش Malware Protection Engine محصولات ضدویروس مایکرسافت همچون Windows Defender که هفته گذشته این شرکت، بصورت فوری و خارج از برنامه اصلاحیههای آنها را عرضه کرده بود نیز در بین اصلاحیههای این ماه به چشم میخورند. آسیبپذیریهای مذکور امکان اجرای کد را بصورت از راه دور برای مهاجم فراهم میکنند. یکی از نهادهای زیرمجموعه ستاد ارتباطات دولت انگلیس (GCHQ) این ضعفها را کشف و به شرکت مایکروسافت گزارش کرده است.
جدول زیر نیز فهرست اصلاحیههای عرضه شده مایکروسافت در ماه میلادی دسامبر را نشان میدهد.
نام محصول | شناسه CVE | شرح آسیبپذیری ترمیم شده |
Microsoft Office | ADV170021 | بهروزرسانی موسوم به Defense in Depth |
Adobe Flash Player | ADV170022 | اصلاحیههای ماه دسامبر شرکت Adobe برای نرمافزار Flash Player؛ این اصلاحیهها نقاط ضعف نرمافزار Adobe Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف میکنند. |
Microsoft Exchange Server | ADV170023 | بهروزرسانی موسوم به Defense in Depth |
Device Guard | CVE-2017-11899 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Microsoft Edge | CVE-2017-11888 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Exchange Server | CVE-2017-11932 | آسیبپذیری به حملات جعل |
Microsoft Malware Protection Engine | CVE-2017-11940 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Malware Protection Engine | CVE-2017-11937 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Office | CVE-2017-11939 | آسیبپذیری به حملات نشت داده |
Microsoft Office | CVE-2017-11936 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2017-11935 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Office | CVE-2017-11934 | آسیبپذیری به حملات نشت داده |
Microsoft Scripting Engine | CVE-2017-11886 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11905 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11907 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11916 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11894 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11887 | آسیبپذیری به حملات نشت داده |
Microsoft Scripting Engine | CVE-2017-11919 | آسیبپذیری به حملات نشت داده |
Microsoft Scripting Engine | CVE-2017-11903 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11901 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11908 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11906 | آسیبپذیری به حملات نشت داده |
Microsoft Scripting Engine | CVE-2017-11890 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11889 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11895 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11893 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11909 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11914 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11918 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11930 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11913 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11910 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11911 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2017-11912 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Windows | CVE-2017-11885 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Windows | CVE-2017-11927 | آسیبپذیری به حملات نشت داده |
اطلاعات و جزئیات بیشتر درباره اصلاحیههای امنیتی ماه دسامبر را میتوان در اینجا دریافت و مطالعه کرد