اصلاحیه‌های عرضه شده در اردیبهشت 1398

در اردیبهشت 1398، شرکت‌های سیسکو، مایکروسافت، ادوبی، اپل، واتس‌اپ، گوگل و وی‌ام‌ور، بنیاد دروپل و گروه سامبا اقدام به انتشار اصلاحیه و توصیه‌نامه امنیتی برای برخی از محصولات خود کردند.

6 اردیبهشت، شرکت اوراکل با عرضه به‌روزرسانی، یک آسیب‌پذیری امنیتی با شناسه CVE-2019-2725 را در WebLogic برطرف کرد. بهره‌جویی از آسیب‌پذیری مذکور امکان اجرای کد به‌صورت از راه دور را برای مهاجم فراهم می‌کند. جزییات بیشتر در خصوص به‌روزرسانی عرضه شده در اینجا قابل مطالعه است. شایان ذکر است که بر طبق گزارشی که مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) آن را منتشر کرده این آسیب‌پذیری به‌طور گسترده مورد سوءاستفاده مهاجمان قرار گرفته است.

در این ماه، سیسکو در چندین نوبت اقدام به انتشار به‌روزرسانی‌های امنیتی کرد. این به‌روزرسانی‌ها آسیب‌پذیری‌هایی را با درجه اهمیت “حیاتی” در برخی محصولات این شرکت ترمیم می‌کنند که با بهره‌جویی از آنها مهاجم می‌تواند کد دلخواه خود را بر روی سیستم آسیب‌پذیر به اجرا درآورد. توضیحات کامل در مورد به‌روزرسانی‌های مذکور در اینجا قابل دسترس است.

به گزارش شرکت مهندسی شبکه گستر، 18 اردیبهشت، بنیاد دروپل، ضعفی را در Drupal Core اصلاح کرد که بهره‌جویی از آن، مهاجم را قادر به در اختیار گرفتن کنترل سیستم با نسخه آسیب‌پذیر این محصول می‌کند. توضیحات بیشتر در اینجا قابل مطالعه است.

سه‌شنبه، 24 اردیبهشت، شرکت‌های مایکروسافت و ادوبی بر طبق زمانبندی معمول، اقدام به عرضه اصلاحیه‌های امنیتی ماهانه خود کردند که جزییات آنها به‌طور تفصیلی در اینجا و اینجا پوشش داده شد.

در همین تاریخ شرکت اپل نیز با انتشار به‌روزرسانی، ضعف‌هایی امنیتی را در محصولات و سیستم‌های عامل زیر ترمیم و اصلاح کرد:

• watchOS
• Safari
• Apple TV Software
• tvOS
• iOS
• macOS

سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم می‌کند. توضیحات بیشتر در خصوص به‌روزرسانی‌های منتشر شده در لینک‌های زیر قابل دریافت است:

• https://support.apple.com/en-us/HT210122
• https://support.apple.com/en-us/HT210123
• https://support.apple.com/en-us/HT210121
• https://support.apple.com/en-us/HT210120
• https://support.apple.com/en-us/HT210118
• https://support.apple.com/en-us/HT210119

در اردیبهشت ماه، شرکت واتس‌اپ نیز اقدام به ارائه یک اصلاحیه امنیتی برای پیام‌رسان خود کرد. همانطور که پیش‌تر در این خبر اشاره شد مهاجمان با بهره‌جویی از یک آسیب‌پذیری حیاتی در پیام‌رسان واتس‌اپ، ابزاری جاسوسی را به‌صورت از راه دور بر روی دستگاه اهداف خود نصب و اجرا می‌کرده‌اند. اصلاحیه این آسیب‌پذیری در آخرین به‌روزرسانی واتس‌اپ لحاظ شده است.

به گزارش شرکت مهندسی شبکه گستر، 24 اردیبهشت، گروه سامبا با عرضه به‌روزرسانی امنیتی ضعفی را در نرم‌افزار کدباز Samba برطرف کرد. سوءاستفاده از ضعف ترمیم شده مهاجم را قادر به تحت کنترل درآوردن سیستم می‌کند. توضیحات بیشتر در خصوص این به‌روزرسانی در اینجا قابل دسترس است.

 شرکت گوگل نیز در چندین نویت در اردیبهشت ماه با ارائه نسخه‌های جدیدی از Chrome ضعف‌هایی را در این مرورگر ترمیم کرد که بهره جویی از برخی از آنها امکان در اختیار گرفتن کنترل دستگاه را برای مهاجم فراهم می‌سازد. آخرین نسخه Chrome با شناسه 74.0.3729.157، سه‌شنبه 24 اردیبهشت منتشر شد.

وی‌ام‌ور هم در این ماه، با انتشار به‌روزرسانی چندین ضعف امنیتی را با درجه اهمیت “متوسط” (Moderate) در محصولات زیر ترمیم کرد:

• vCenter Server
• ESXi
• Workstation
• Fusion

جزییات کامل در خصوص این به‌روزرسانی‌ها در لینک‌های زیر ارائه شده است:

• https://www.vmware.com/security/advisories/VMSA-2019-0007.html
• https://www.vmware.com/security/advisories/VMSA-2019-0008.html

همچنین روز دوشنبه، مرکز ماهر در مطلبی به ‫سوءاستفاده گسترده مهاجمان از آسیب‌پذیری CVE-2019-0604 در نرم‌افزار SharePoint پرداخت که مشروح آن در اینجا قابل دریافت است. مایکروسافت این آسیب‌پذیری را 23 بهمن 1397 در اصلاحیه‌های ماه فوریه این شرکت ترمیم کرده بود.