اصلاحیههای عرضه شده در تیر 1398
در تیر ماه، علاوه بر مایکروسافت و ادوبی، شرکتهای سیسکو، گوگل، ویاِموِر، موزیلا، جونیپر نتورکز، اوراکل و اپل و بنیاد دروپل اقدام به انتشار اصلاحیه و توصیهنامه امنیتی برای برخی از محصولات خود کردند.
به گزارش شرکت مهندسی شبکه گستر، در این ماه، سیسکو در چندین نوبت اقدام به انتشار بهروزرسانیهای امنیتی کرد. این بهروزرسانیها در مجموع، 44 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت چهار مورد از این آسیبپذیریها “حیاتی” (Critical) و 20 مورد از آنها “بالا” (High) گزارش شده است. مهاجم با بهرهجویی از برخی از آسیبپذیریهای مذکور، قادر به در اختیار گرفتن کنترل سیستم خواهد بود. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در اینجا قابل دسترس است.
در هفته سوم تیر ماه، شرکت موزیلا، با ارائه بهروزرسانی، چندین آسیبپذیری را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. سوءاستفاده از برخی از ضعفهای مذکور به مهاجم امکان میدهد تا بهصورت از راه دور اقدام به اجرای کد مخرب بر روی دستگاه آسیبپذیر کند. جزییات بیشتر در اینجا، اینجا و اینجا قابل مطالعه است.
شرکت گوگل نیز با عرضه نسخه 75.0.3770.142 مرورگر Chrome دو آسیبپذیری امنیتی را در این مرورگر ترمیم کرده که جزییات آنها در اینجا قابل دریافت است.
ویاِموِر دیگر شرکتی بود که در تیر ماه 1398 اقدام به انتشار بهروزرسانی برای ترمیم دو آسیبپذیری امنیتی کرد. محصولات زیر از این آسیبپذیریها تأثیر میپذیرند:
- AppDefense
- Container Service Extension
- Enterprise PKS
- Horizon
- Horizon DaaS
- Hybrid Cloud Extension
- Identity Manager
- Integrated OpenStack
- NSX for vSphere
- NSX-T Data Center
- Pulse Console
- SD-WAN Edge by VeloCloud
- SD-WAN Gateway by VeloCloud
- SD-WAN Orchestrator by VeloCloud
- Skyline Collector
- Unified Access Gateway
- vCenter Server Appliance
- vCloud Availability Appliance
- vCloud Director For Service Providers
- vCloud Usage Meter
- vRealize Automation
- vRealize Business for Cloud
- vRealize Code Stream
- vRealize Log Insight
- vRealize Network Insight
- vRealize Operations Manager
- vRealize Orchestrator Appliance
- vRealize Suite Lifecycle Manager
- vSphere Data Protection
- vSphere Integrated Containers
- vSphere Replication
سوءاستفاده از این ضعفهای امنیتی موجب از کاراندازی سرویس دهی محصول آسیب پذیر می شود. توضیحات کامل در این خصوص در اینجا قابل مطالعه است.
19 تیر ماه، جونیپر نتورکز نیز با ارائه بهروزرسانی چند ضعف امنیتی را در تجهیزات ساخت این شرکت ترمیم کرد. سوءاستفاده از برخی از ضعفهای مذکور موجب بروز اختلال در عملکرد دستگاه آسیبپذیر میشود. جزییات بیشتر در اینجا قابل مطالعه است.
اوراکل طبق برنامه زمانبندی شده سهماهه خود، سهشنبه، 25 تیر، با انتشار بهروزرسانیهای امنیتی، در مجموع، 319 آسیبپذیری را که درجه اهمیت 50 مورد از آنها “حیاتی” گزارش شده در دهها محصول ساخت این شرکت ترمیم و اصلاح کرد. جزییات کامل در اینجا شده است.
26 تیر ماه نیز، بنیاد دروپل، یک ضعف امنیتی را در نرمافزار مدیریت محتوای Drupal ترمیم و اصلاح کرد. بهرهجویی از ضعف مذکور، مهاجم را قادر به عبور از سد تنظیمات کنترلی این محصول میکند. توضیحات بیشتر در اینجا قابل مطالعه است.
در آخرین روز تیر ماه، شرکت اپل نیز با انتشار بهروزرسانی، ضعفهایی امنیتی را در محصولات و سیستمهای عامل زیر ترمیم و اصلاح کرد:
- iOS
- tvOS
- Safari
- macOS
- watchOS
سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. توضیحات بیشتر در خصوص بهروزرسانیهای منتشر شده در لینکهای زیر قابل دریافت است:
- https://support.apple.com/en-us/HT210346
- https://support.apple.com/en-us/HT210351
- https://support.apple.com/en-us/HT210355
- https://support.apple.com/en-us/HT210348
- https://support.apple.com/en-us/HT210353
همچنین بتازگی شرکت نتفلیکس از شناسایی سه آسیبپذیری امنیتی در پودمان TCP در هستههای FreeBSD و Linux خبر داده است. آسیبپذیریهای مذکور از نحوه مدیریت Selective Acknowledgement در پودمان TCP و قابلیت MSS آن ناشی میشود. در میان این سه آسیبپذیری، ضعف موسوم به TCP SACK Panic با شناسه CVE-2019-11477 با درجه Important بالاترین سطح حساسیت را به خود اختصاص داده است. مهاجم با بهرهجویی از TCP SACK Panic قادر به از کاراندازی سیستم بهصورت از راه دور خواهد بود. درجه اهمیت دو ضعف دیگر – با شناسههای CVE-2019-11478 و CVE-2019-11479، “متوسط” (Moderate) گزارش شده است. در پی اعلام نت فلیکس در خصوص شناسایی این آسیبپذیریها، شرکت امنیتی سوفوس نیز بلافاصله محصولات خود را از لحاظ تأثیر پذیرفتن از این اشکالت مورد بررسی قرار داده که نتایج آن در اینجا قابل دریافت است.
و در آخر اینکه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) در اطلاعیهای نسبت به خطر عدم ترمیم یک آسیبپذیری “حیاتی” با شناسه CVE-2019-9670 در Zimbra که به گفته این مرکز یکی از سرویسدهندههای ایمیل پرکاربرد در کشور تلقی میشود هشدار داده است. مشروح اطلاعیه ماهر در اینجا قابل مطالعه است.