به گزارش شرکت مهندسی شبکه گستر، سهشنبه، 22 خرداد ماه، شرکت مایکروسافت اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژوئن منتشر کرد. این اصلاحیهها در مجموع، 11 آسیبپذیری “حیاتی” (Critical) و 39 آسیبپذیری “بااهمیت” (Important) را در سیستم عامل Windows و بخشها و محصولات زیر ترمیم میکنند:
- Internet Explorer
- Microsoft Edge
- ChakraCore JavaScript Engine
- Microsoft Office
- Microsoft Office Services and Web Apps
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “بااهمیت” برطرف و ترمیم میگردند.
CVE-2018-8267 تنها آسیبپذیری ترمیم شده در این ماه است که جزییات آن پیشتر بهطور عمومی اعلام شده بود. مهاجم با بهرهجویی از این آسیبپذیری در بخش Scripting Engine در مرورگر Internet Explorer قادر به اجرای کد بهصورت از راه دور بر روی دستگاه قربانی خواهد بود.
برخی محققان ضعف امنیتی CVE-2018-8225 را حیاتیترین آسیبپذیری ترمیم شده این ماه میدانند. این آسیبپذیری ناشی از روش پردازش درخواستهای DNS در سیستم عامل Windows است که امکان ارسال پاسخهای دستکاری شده توسط یک سرور DNS تحت کنترل مهاجم را فراهم میکند.
خوشبختانه تا زمان نگارش این خبر بهرهجویی از هیچ یک از آسیب پذیریهای ترمیم شده، حداقل بهصورت عمومی، گزارش نشده است.
همچنین به همراه اصلاحیههای ماه ژوئن، شرکت مایکروسافت اقدام به انتشار توصیهنامهای با شناسه KB4338110 نموده که در آن به نحوه ایمنسازی کدهای برنامه در برابر حملات مبتنی بر Cipher-Block-Chaining پرداخته شده است. در صورت آسیبپذیر بودن یک برنامه به این گونه حملات، مهاجم قادر به دستدرازی به دادههای رمز شده بدون نیاز به در اختیار داشتن کلید رمزگذاری خواهد بود.
همچون ماههای قبل، یکی از اصلاحیههای ماهانه مایکروسافت نقاط ضعف نرمافزار Adobe Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، در این مرورگرها اصلاح و برطرف میکند.
جدول زیر فهرست اصلاحیههای عرضه شده مایکروسافت در ماه میلادی ژوئن را نمایش میدهد.
محصول | شناسه CVE | شرح آسیبپذیری ترمیم شده |
Adobe Flash Player | ADV180014 | اصلاحیههای ماه ژوئن شرکت Adobe برای نرمافزار Flash Player؛ این اصلاحیهها نقاط ضعف نرمافزار Adobe Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف میکنند. |
Microsoft Office | ADV180015 | بهروزرسانی برای بهبود امنیت بخش Office Art در مجموعه نرمافزاری Microsoft Office |
Device Guard | CVE-2018-8215 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8212 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8211 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8221 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8217 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8216 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8201 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
HID Parser Library | CVE-2018-8169 | آسیبپذیری به حملات ترفیع امتیازی |
Internet Explorer | CVE-2018-0978 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Internet Explorer | CVE-2018-8113 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Internet Explorer | CVE-2018-8249 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8110 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8111 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8236 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8235 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Microsoft Edge | CVE-2018-0871 | آسیبپذیری به حملات نشت اطلاعات |
Microsoft Edge | CVE-2018-8234 | آسیبپذیری به حملات نشت اطلاعات |
Microsoft NTFS | CVE-2018-1036 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8246 | آسیبپذیری به حملات نشت اطلاعات |
Microsoft Office | CVE-2018-8247 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8244 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8245 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8254 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8248 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Office | CVE-2018-8252 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Scripting Engine | CVE-2018-8229 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8227 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8267 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8243 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Windows | CVE-2018-8175 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-1040 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-8251 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Windows | CVE-2018-0982 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Windows | CVE-2018-8208 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Windows | CVE-2018-8209 | آسیبپذیری به حملات نشت اطلاعات |
Microsoft Windows | CVE-2018-8214 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Windows | CVE-2018-8210 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Windows | CVE-2018-8213 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Windows | CVE-2018-8205 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-8231 | آسیبپذیری به حملات اجرای از راه دور کد |
Microsoft Windows | CVE-2018-8239 | آسیبپذیری به حملات نشت اطلاعات |
Microsoft Windows | CVE-2018-8226 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-8225 | آسیبپذیری به حملات اجرای از راه دور کد |
Windows Hyper-V | CVE-2018-8218 | آسیبپذیری به حملات از کاراندازی سرویس |
Windows Hyper-V | CVE-2018-8219 | آسیبپذیری به حملات ترفیع امتیازی |
Windows Kernel | CVE-2018-8207 | آسیبپذیری به حملات نشت اطلاعات |
Windows Kernel | CVE-2018-8233 | آسیبپذیری به حملات ترفیع امتیازی |
Windows Kernel | CVE-2018-8224 | آسیبپذیری به حملات ترفیع امتیازی |
Windows Kernel | CVE-2018-8121 | آسیبپذیری به حملات نشت اطلاعات |
Windows Shell | CVE-2018-8140 | آسیبپذیری به حملات ترفیع امتیازی |