اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی نوامبر

به گزارش شرکت مهندسی شبکه گستر، سه‌شنبه، 22 آبان ماه، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی نوامبر منتشر کرد. این اصلاحیه‌ها در مجموع، 62 آسیب‌پذیری را در سیستم عامل Windows و برخی دیگر از محصولات مایکروسافت ترمیم می‌کنند.

درجه اهمیت 12 مورد از آسیب‌پذیری‌های مذکور “حیاتی” (Critical) اعلام شده است.

نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند.

از بین 12 آسیب‌پذیری “حیاتی” ترمیم شده در این ماه، پردازشگر JavaScript مایکروسافت، معروف به Chakra که در مرورگرهای این شرکت مورد استفاده قرار می‌گیرد در هشت مورد از آنها نقش داشته است.

این آسیب‌پذیری‌ها با شناسه CVE-2018-8541،و CVE-2018-8542،و CVE-2018-8543،و CVE-2018-8551،و CVE-2018-8555،و CVE-2018-8556،و CVE-2018-8557 و CVE-2018-8588 به نحوه پردازش اشیا در حافظه توسط Chakra مربوط می‌شوند. بهره‌جویی از این آسیب‌پذیری‌ها مهاجم را قادر به اجرای کد مخرب به‌صورت از راه دور بر روی دستگاه قربانی می‌کند. هدایت کاربر به یک صفحه اینترنتی دستکاری شده توسط مهاجم می‌تواند یکی از سناریوهای بهره‌جویی از این آسیب‌پذیری باشد.

CVE-2018-8544 دیگر ضعف امنیتی “حیاتی” ترمیم شده در این ماه است. برای سوءاستفاده از ضعف مذکور مهاجم می‌بایست کنترلی از نوع ActiveX را با برچسب Safe for Initialization در فایل‌هایی که از پردازشگر وب مایکروسافت بهره می‌گیرند – نظیر مجموعه نرم‌افزاری Office – تزریق کرده و سپس کاربر را وادار به باز کردن آن فایل کند. در صورت موفقیت‌آمیز بودن فرایند باز شدن فایل، کد مورد نظر مهاجم بر روی دستگاه اجرا می‌شود.

CVE-2018-8476 نیز یک آسیب‌پذیری “حیاتی” است که به طریقه مدیریت اشیا در حافظه توسط Deployment Services TFTP Server مربوط می‌شود. مهاجم با سوءاستفاده از این آسیب‌پذیری قادر به اجرای کد مخرب به‌صورت از راه دور بر روی دستگاه قربانی خواهد بود.

CVE-2018-8553 دیگر ضعف امنیتی “حیاتی” ترمیم شده است که از نحوه پردازش اشیا در حافظه توسط Microsoft Graphics Components ناشی می‌شود. مهاجم می‌تواند با ایجاد یک فایل دستکاری شده و تشویق قربانی به باز کردن آن از این ضعف بهره‌جویی کرده و کد مورد نظر خود را بر روی دستگاه به اجرا در آورد.

CVE-2018-8609، آخرین آسیب‌پذیری حیاتی ترمیم شده در این ماه است. این آسیب‌پذیری در نسخه On-premise نرم‌افزار Microsoft Dynamics 365 گزارش شده و دلیل بروز آن عدم پالایش صحیح درخواست‌های ارسالی به این محصول اعلام شده است. بهره‌جویی از این آسیب‌پذیری به مهاجم امکان خواهد داد تا با حساب کاربری پایگاه داده SQL که نرم‌افزار به آن دسترسی دارد به‌صورت از راه دور اقدام به اجرای کد مخرب بر روی سرور کند.

CVE-2018-8566 یکی از آسیب‌پذیری‌های “بااهمیت” این ماه است که از باگی در محصول BitLocker بر روی نسخه‌های 10،و Server 2016 و Server 2019 سیستم عامل Windows ناشی می‌شود. آسیب‌پذیری مذکور مهاجم را قادر می‌کند تا از سد سیستم حفاظتی BitLocker عبور کرده و به داده‌های رمزگذاری شده دسترسی پیدا کند. جزییات این آسیب پذیری پیش‌تر به‌صورت عمومی افشا شده بود. BitLocker محصول ویژه مایکروسافت برای رمزگذاری داده‌هاست.

CVE-2018-8589 نیز ضعفی دیگر با درجه “بااهمیت” است. این ضعف که در راه‌انداز Win32k.sys نسخه های 7،و Server 2008 و Server 2008 R2 سیستم عامل Windows گزارش شده به مهاجم امکان می‌دهد تا سطح دسترسی خود بر روی دستگاه قربانی را ترفیع داده و در ادامه کد مورد نظرش را به اجرا درآورد. با این حال با توجه به لزوم فراهم بودن امکان ورود به سیستم برای بهره‌جویی از آسیب‌پذیری، درجه آن “بااهمیت” اعلام شده است. پیش از عرضه اصلاحیه آن در 22 آبان ماه، این آسیب‌پذیری توسط چندین گروه هکر حرفه‌ای مورد بهره‌جویی قرار گرفته و به‌همین خاطر برخی منابع از آن با عنوان روز صفر (Zero-day) یاد می‌کنند.

جدول زیر فهرست کامل اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی نوامبر را نمایش می‌دهد.