اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی جولای

به گزارش شرکت مهندسی شبکه گستر، سه‌شنبه 18 تیر، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی جولای منتشر کرد. این اصلاحیه‌ها در مجموع، 77 آسیب‌پذیری را در سیستم عامل Windows و برخی دیگر از محصولات مایکروسافت ترمیم می‌کنند. درجه اهمیت 15 مورد از آسیب‌پذیری‌های ترمیم شده توسط اصلاحیه‌های مذکور “حیاتی” (Critical) و 62 مورد از آنها “بااهمیت” (Important) اعلام شده است.

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند.

از 15 آسیب پذیری حیاتی این ماه، 11 مورد آنها مرتبط با بخش Scripting Engine مرورگرهای شرکت مایکروسافت هستند. چهار مورد دیگر نیز هر کدام یکی از محصولات DHCP Server،و+GDI،وDot Net Framework و Azure DevOps Server/Team Foundation Server را تحت تأثیر قرار می‌دهند.

دو مورد از آسیب‌پذیری‌های ترمیم شده توسط اصلاحیه‌های ماه جولای، از قبل از این توسط مهاجمان مورد بهره‌جویی مهاجمان قرار گرفته است. هر دوی این ضعف‌های امنیتی – با شناسه‌های CVE-2019-1132 و CVE-2019-0880 – مهاجم را قادر به ارتقای دسترسی خود بر روی سیستم قربانی می‌کنند. سوءاستفاده از آسیب‌پذیری‌های مذکور مستلزم داشتن دسترسی فیزیکی مهاجم به سیستم یا بهره‌جویی از آسیب‌پذیری دیگر برای دسترسی یافتن از راه دور به دستگاه قربانی است و به همین خاطر درجه “بااهمیت” – و نه “حیاتی” – به آنها اختصاص داده شده است. اما با توجه به مورد بهره‌جویی قرار گرفتن آنها نصب اصلاحیه‌های مربوطه با اولویت بالا توصیه می‌شود.

جزییات پنج آسیب‌پذیری نیز پیش‌تر به‌صورت عمومی منتشر شده بود؛ گر چه خوشبختانه هیچ مورد بهره‌جویی تا قبل از عرضه اصلاحیه آنها در 18 تیر گزارش نشده است. فهرست این آسیب‌پذیری‌ها به‌شرح زیر است:

  • CVE-2019-0865 – ضعفی که بهره‌جویی از آن موجب از کاراندازی سرویس (Denial of Service) در بخش SymCrypt سیستم عامل Windows می‌شود.
  • CVE-2018-15664 – اشکالی از نوع ترفیع امتیازی (Elevation of Privilege) که مهاجم با بهره‌جویی از آن در نسخه آسیب‌پذیر Docker قادر به ارتقای دسترسی خود خواهد بود.
  • CVE-2019-0962 – ضعفی در Azure Automation که سوءاستفاده از آن مهاجم را قادر به ترفیع دسترسی خود بر روی سیستم آسیب‌پذیر می‌کند.
  • CVE-2019-1068 – اشکالی در SQL Server که امکان اجرای کد بالقوه مخرب (Remote Code Execution) را برای مهاجم فراهم می‌کند.
  • CVE-2019-1129 – ضعفی در سیستم عامل Windows که به مهاجم امکان می‌دهد تا دسترسی خود را ارتقا دهد.

درجه همه موارد بالا “بااهیمت” گزارش شده است.

جدول زیر فهرست کامل اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی جولای را نمایش می‌دهد.

محصولشناسه CVEملاحظات
NET Framework.CVE-2019-1083آسیب‌پذیری به حملات از کاراندازی سرویس
NET Framework.CVE-2019-1113آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
NET Framework.CVE-2019-1006آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
ASP.NETCVE-2019-1075آسیب‌پذیری به حملات جعل
AzureCVE-2019-0962آسیب‌پذیری به حملات ترفیع امتیازی
Azure DevOpsCVE-2019-1076آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Azure DevOpsCVE-2019-1072آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Internet ExplorerCVE-2019-1063آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft BrowsersCVE-2019-1104آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Exchange ServerADV190021آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Microsoft Exchange ServerCVE-2019-1136آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Exchange ServerCVE-2019-1137آسیب‌پذیری به حملات جعل
Microsoft Graphics ComponentCVE-2019-1118آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1119آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1117آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1127آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1116آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1120آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1124آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-0999آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Graphics ComponentCVE-2019-1128آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1121آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1122آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1123آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1097آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1096آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1101آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1098آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1095آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1102آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft Graphics ComponentCVE-2019-1100آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1094آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Graphics ComponentCVE-2019-1093آسیب‌پذیری به حملات نشت اطلاعات
Microsoft OfficeCVE-2019-1084آسیب‌پذیری به حملات نشت اطلاعات
Microsoft OfficeCVE-2019-1111آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft OfficeCVE-2019-1110آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft OfficeCVE-2019-1109آسیب‌پذیری به حملات جعل
Microsoft OfficeCVE-2019-1112آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Office SharePointCVE-2019-1134آسیب‌پذیری به حملات تزریق اسکریپت از طریق سایت
Microsoft Scripting EngineCVE-2019-1062آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1004آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1001آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1059آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1056آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1106آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1092آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1103آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting EngineCVE-2019-1107آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft WindowsCVE-2019-1067آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-1074آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-1091آسیب‌پذیری به حملات نشت اطلاعات
Microsoft WindowsCVE-2019-1082آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-0975آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Microsoft WindowsCVE-2019-1130آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-1129آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-1037آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-0880آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft WindowsCVE-2019-0865آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft WindowsCVE-2019-0785آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft WindowsCVE-2019-0887آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Microsoft WindowsCVE-2019-0966آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft WindowsCVE-2019-1126آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Microsoft Windows DNSCVE-2019-1090آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows DNSCVE-2019-0811آسیب‌پذیری به حملات از کاراندازی سرویس
Open Source SoftwareCVE-2018-15664آسیب‌پذیری به حملات ترفیع امتیازی
Servicing Stack UpdatesADV990001آخرین به‌روزرسانی‌های Servicing Stack
SQL ServerCVE-2019-1068آسیب‌پذیری به حملات اجرای کد به‌صورت از راه دور
Visual StudioCVE-2019-1077آسیب‌پذیری به حملات ترفیع امتیازی
Visual StudioCVE-2019-1079آسیب‌پذیری به حملات نشت اطلاعات
Windows KernelCVE-2019-1073آسیب‌پذیری به حملات نشت اطلاعات
Windows KernelCVE-2019-1132آسیب‌پذیری به حملات ترفیع امتیازی
Windows KernelCVE-2019-1071آسیب‌پذیری به حملات نشت اطلاعات
Windows KernelCVE-2019-1089آسیب‌پذیری به حملات ترفیع امتیازی
Windows MediaCVE-2019-1086آسیب‌پذیری به حملات ترفیع امتیازی
Windows MediaCVE-2019-1088آسیب‌پذیری به حملات ترفیع امتیازی
Windows MediaCVE-2019-1087آسیب‌پذیری به حملات ترفیع امتیازی
Windows MediaCVE-2019-1085آسیب‌پذیری به حملات ترفیع امتیازی
Windows RDPCVE-2019-1108آسیب‌پذیری به حملات نشت اطلاعات
Windows ShellCVE-2019-1099آسیب‌پذیری به حملات نشت اطلاعات

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *