اصلاحیههای امنیتی مایکروسافت برای ماه میلادی جولای
به گزارش شرکت مهندسی شبکه گستر، سهشنبه، 19 تیر ماه، شرکت مایکروسافت اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی جولای منتشر کرد. این اصلاحیهها در مجموع، 53 آسیبپذیری را در سیستم عامل Windows و بخشها و محصولات زیر ترمیم میکنند:
- Internet Explorer
- Microsoft Edge
- Microsoft Office and Microsoft Office Services and Web Apps
- ChakraCore
- Adobe Flash Player
- .NET Framework
- ASP.NET
- Microsoft Research JavaScript Cryptography Library
- Skype for Business and Microsoft Lync
- Visual Studio
- Microsoft Wireless Display Adapter V2 Software
- PowerShell Editor Services
- PowerShell Extension for Visual Studio Code
- Web Customizations for Active Directory Federation Services
درجه اهمیت 17 مورد از آسیبپذیریهای ترمیم شده توسط این اصلاحیهها “حیاتی” (Critical) و 34 مورد از آنها “بااهمیت” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “بااهمیت” برطرف و ترمیم میگردند.
از نکات قابل توجه در خصوص اصلاحیههای ماه جولای مایکروسافت، ترمیم چهار آسیبپذیری زیر در بخش JScript Engine – معروف به Chakra – در نسخههای 32 بیتی مرورگر Internet Explorer است.
هر چهار ضعف مذکور، مهاجم را قادر به اجرای کد بالقوه مخرب بر روی دستگاه با مرورگر آسیبپذیر بهصورت از راه دور میکنند.
نکته حائز اهمیت دیگر در خصوص اصلاحیههای این ماه، ایمن شدن مجموعه نرمافزاری Office در برابر آن دسته از حملاتی است که در جریان آنها ایمیلی حاوی فونتهای موسوم به TrueType به قربانی ارسال میشود. بکارگیری نوع نامعتبر این فونتها یکی از روشهای مورد استفاده مهاجمان برای رخنه به دستگاه اهداف خود است.
جدول زیر فهرست کامل اصلاحیههای عرضه شده مایکروسافت در ماه میلادی جولای را نمایش میدهد.
محصول | شناسه CVE | شرح آسیبپذیری ترمیم شده |
Adobe Flash Player | ADV180017 | اصلاحیههای ماه جولای شرکت ادوبی برای نرمافزار Flash Player؛ این اصلاحیهها نقاط ضعف نرمافزار Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف میکنند. |
.NET Framework | CVE-2018-8284 | آسیبپذیری به حملات تزریق کد بهصورت از راه دور |
.NET Framework | CVE-2018-8260 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
.NET Framework | CVE-2018-8202 | آسیبپذیری به حملات ترفیع امتیازی |
.NET Framework | CVE-2018-8356 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Active Directory | CVE-2018-8326 | آسیبپذیری به تزریق اسکریپت از طریق سایت (XSS) |
ASP.NET | CVE-2018-8171 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Device Guard | CVE-2018-8222 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Internet Explorer | CVE-2018-0949 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Microsoft Devices | CVE-2018-8306 | آسیبپذیری به حملات تزریق کد |
Microsoft Edge | CVE-2018-8289 | آسیبپذیری به حملات نشت داده |
Microsoft Edge | CVE-2018-8301 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8325 | آسیبپذیری به حملات نشت داده |
Microsoft Edge | CVE-2018-8324 | آسیبپذیری به حملات نشت داده |
Microsoft Edge | CVE-2018-8297 | آسیبپذیری به حملات نشت داده |
Microsoft Edge | CVE-2018-8274 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Edge | CVE-2018-8278 | آسیبپذیری به حملات جعل |
Microsoft Edge | CVE-2018-8262 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Office | CVE-2018-8281 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Microsoft Office | CVE-2018-8323 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8300 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Microsoft Office | CVE-2018-8312 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Microsoft Office | CVE-2018-8299 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Office | CVE-2018-8310 | آسیب پذیری به حملات دستدرازی به داده |
Microsoft PowerShell | CVE-2018-8327 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Microsoft Scripting Engine | CVE-2018-8294 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8280 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8242 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8125 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8298 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8287 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8288 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8290 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8279 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8283 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8286 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8275 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8296 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8291 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
Microsoft Scripting Engine | CVE-2018-8276 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Microsoft Windows | CVE-2018-8308 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Windows | CVE-2018-8309 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-8305 | آسیبپذیری به حملات نشت داده |
Microsoft Windows | CVE-2018-8206 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft Windows | CVE-2018-8319 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Microsoft Windows | CVE-2018-8313 | آسیبپذیری به حملات ترفیع امتیازی |
Microsoft Windows DNS | CVE-2018-8304 | آسیبپذیری به حملات از کاراندازی سرویس |
Microsoft WordPad | CVE-2018-8307 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Skype for Business and Microsoft Lync | CVE-2018-8238 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
Skype for Business and Microsoft Lync | CVE-2018-8311 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Visual Studio | CVE-2018-8172 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
Visual Studio | CVE-2018-8232 | آسیب پذیری به حملات دستدرازی به داده |
Windows Kernel | CVE-2018-8282 | آسیبپذیری به حملات ترفیع امتیازی |
Windows Shell | CVE-2018-8314 | آسیبپذیری به حملات ترفیع امتیازی |