اصلاحیه‌های عرضه شده در تیر 1398

در تیر ماه، علاوه بر مایکروسافت و ادوبی، شرکت‌های سیسکو، گوگل، وی‌اِم‌وِر، موزیلا، جونیپر نت‌ورکز، اوراکل و اپل و بنیاد دروپل اقدام به انتشار اصلاحیه و توصیه‌نامه امنیتی برای برخی از محصولات خود کردند.

به گزارش شرکت مهندسی شبکه گستر، در این ماه، سیسکو در چندین نوبت اقدام به انتشار به‌روزرسانی‌های امنیتی کرد. این به‌روزرسانی‌ها در مجموع، 44 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت چهار مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و 20 مورد از آنها “بالا” (High) گزارش شده است. مهاجم با بهره‌جویی از برخی از آسیب‌پذیری‌های مذکور، قادر به در اختیار گرفتن کنترل سیستم خواهد بود. توضیحات کامل در مورد به‌روزرسانی‌های عرضه شده در اینجا قابل دسترس است.

در هفته سوم تیر ماه، شرکت موزیلا، با ارائه به‌روزرسانی، چندین آسیب‌پذیری را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. سوءاستفاده از برخی از ضعف‌های مذکور به مهاجم امکان می‌دهد تا به‌صورت از راه دور اقدام به اجرای کد مخرب بر روی دستگاه آسیب‌پذیر کند. جزییات بیشتر در اینجا، اینجا و اینجا قابل مطالعه است.

شرکت گوگل نیز با عرضه نسخه 75.0.3770.142 مرورگر Chrome دو آسیب‌پذیری امنیتی را در این مرورگر ترمیم کرده که جزییات آنها در اینجا قابل دریافت است.

وی‌اِم‌وِر دیگر شرکتی بود که در تیر ماه 1398 اقدام به انتشار به‌روزرسانی برای ترمیم دو آسیب‌پذیری امنیتی کرد. محصولات زیر از این آسیب‌پذیری‌ها تأثیر می‌پذیرند:

• AppDefense
• Container Service Extension
• Enterprise PKS
• Horizon
• Horizon DaaS
• Hybrid Cloud Extension
• Identity Manager
• Integrated OpenStack
• NSX for vSphere
• NSX-T Data Center
• Pulse Console
• SD-WAN Edge by VeloCloud
• SD-WAN Gateway by VeloCloud
• SD-WAN Orchestrator by VeloCloud
• Skyline Collector
• Unified Access Gateway
• vCenter Server Appliance
• vCloud Availability Appliance
• vCloud Director For Service Providers
• vCloud Usage Meter
• vRealize Automation
• vRealize Business for Cloud
• vRealize Code Stream
• vRealize Log Insight
• vRealize Network Insight
• vRealize Operations Manager
• vRealize Orchestrator Appliance
• vRealize Suite Lifecycle Manager
• vSphere Data Protection
• vSphere Integrated Containers
• vSphere Replication

سوءاستفاده از این ضعف‌های امنیتی موجب از کاراندازی سرویس دهی محصول آسیب پذیر می شود. توضیحات کامل در این خصوص در اینجا قابل مطالعه است.

19 تیر ماه، جونیپر نت‌ورکز نیز با ارائه به‌روزرسانی چند ضعف امنیتی را در تجهیزات ساخت این شرکت ترمیم کرد. سوءاستفاده از برخی از ضعف‌های مذکور موجب بروز اختلال در عملکرد دستگاه آسیب‌پذیر می‌شود. جزییات بیشتر در اینجا قابل مطالعه است.

اوراکل طبق برنامه زمانبندی شده سه‌ماهه خود، سه‌شنبه، 25 تیر، با انتشار به‌روزرسانی‌های امنیتی، در مجموع، 319 آسیب‌پذیری را که درجه اهمیت 50 مورد از آنها “حیاتی” گزارش شده در ده‌ها محصول ساخت این شرکت ترمیم و اصلاح کرد. جزییات کامل در اینجا شده است.

26 تیر ماه نیز، بنیاد دروپل، یک ضعف امنیتی را در نرم‌افزار مدیریت محتوای Drupal ترمیم و اصلاح کرد. بهره‌جویی از ضعف مذکور، مهاجم را قادر به عبور از سد تنظیمات کنترلی این محصول می‌کند. توضیحات بیشتر در اینجا قابل مطالعه است.

در آخرین روز تیر ماه، شرکت اپل نیز با انتشار به‌روزرسانی، ضعف‌هایی امنیتی را در محصولات و سیستم‌های عامل زیر ترمیم و اصلاح کرد:

• iOS
• tvOS
• Safari
• macOS
• watchOS

سوءاستفاده از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم می‌کند. توضیحات بیشتر در خصوص به‌روزرسانی‌های منتشر شده در لینک‌های زیر قابل دریافت است:

• https://support.apple.com/en-us/HT210346
• https://support.apple.com/en-us/HT210351
• https://support.apple.com/en-us/HT210355
• https://support.apple.com/en-us/HT210348
• https://support.apple.com/en-us/HT210353

همچنین بتازگی شرکت نت‌فلیکس از شناسایی سه آسیب‌پذیری امنیتی در پودمان TCP در هسته‌های FreeBSD و Linux خبر داده است. آسیب‌پذیری‌های مذکور از نحوه مدیریت Selective Acknowledgement در پودمان TCP و قابلیت MSS آن ناشی می‌شود. در میان این سه آسیب‌پذیری، ضعف موسوم به TCP SACK Panic با شناسه CVE-2019-11477 با درجه Important بالاترین سطح حساسیت را به خود اختصاص داده است. مهاجم با بهره‌جویی از TCP SACK Panic قادر به از کاراندازی سیستم به‌صورت از راه دور خواهد بود. درجه اهمیت دو ضعف دیگر – با شناسه‌های CVE-2019-11478 و CVE-2019-11479، “متوسط” (Moderate) گزارش شده است. در پی اعلام نت فلیکس در خصوص شناسایی این آسیب‌پذیری‌ها، شرکت امنیتی سوفوس نیز بلافاصله محصولات خود را از لحاظ تأثیر پذیرفتن از این اشکالت مورد بررسی قرار داده که نتایج آن در اینجا قابل دریافت است.

و در آخر اینکه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) در اطلاعیه‌ای نسبت به خطر عدم ترمیم یک آسیب‌پذیری “حیاتی” با شناسه CVE-2019-9670 در Zimbra که به گفته این مرکز یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور تلقی می‌شود هشدار داده است. مشروح اطلاعیه ماهر در اینجا قابل مطالعه است.