اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی سپتامبر

سه‌شنبه، 18 شهریور، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر منتشر کرد. این اصلاحیه‌ها در مجموع، بیش از 120 آسیب‌پذیری را در سیستم عامل Windows و محصولات زیر ترمیم می‌کنند:

Microsoft Windows
Microsoft Edge (EdgeHTML-based)
Microsoft Edge (Chromium-based)
Microsoft ChakraCore
Internet Explorer
SQL Server
Microsoft JET Database Engine
Microsoft Office and Microsoft Office Services and Web Apps
Microsoft Dynamics
Visual Studio
Microsoft Exchange Server
SQL Server
ASP.NET
Microsoft OneDrive
Azure DevOps

به گزارش شرکت مهندسی شبکه گستر، درجه حساسیت 23 مورد از آسیب‌پذیری‌های ترمیم شده “حیاتی” (Critical) و باقی آنها “مهم” (Important) گزارش شده است.
در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “مهم” برطرف و ترمیم می‌گردند.
هیچ یک از ضعف‌های امنیتی ترمیم شده توسط مجموعه اصلاحیه‌های ماه سپتامبر، روز-صفر (Zero-day) اعلام نشده‌اند.
از میان ۲۳ آسیب‌پذیری “حیاتی” این ماه، چند مورد زیر بیش از سایرین جلب توجه می‌کنند:

CVE-2020-0922 که یک آسیب‌پذیری از نوع “اجرای کد به‌صورت از راه دور” (Remote Code Execution) است که بخش COM در سیستم عامل Windows را تحت تأثیر قرار می‌دهد. هدایت کاربر به یک سایت حاوی JavaScript مخرب یک سناریوهای احتمالی سوءاستفاده از CVE-2020-0922 می‌تواند باشد. سطح حساسیت این آسیب پذیری بر طبق استاندارد CVSS،و8/8 از 10 اعلام شده است.
CVE-2020-1508 و CVE-2020-1593 که هر دو آسیب‌پذیری‌هایی در Media Audio Decoder هستند و مهاجم را قادر به در اختیار گرفتن کنترل دستگاه می‌کنند.
CVE-2020-1057 و CVE-2020-1172 که بخش ChakraCore Scripting Engine در مرورگرهای مایکروسافت از آنها تأثیر می‌پذیرد. بهره‌جویی از این دو آسیب‌پذیری مهاجم را قادر به اجرای کد با سطح دسترسی کاربر جاری می‌کند.

از میان آسیب‌پذیری‌های “مهم” ترمیم شده در این ماه نیز می‌توان به اصلاح چهار ضعف امنیتی با شناسه‌های CVE-2020-1193،وCVE-2020-1218،و CVE-2020-1332 و CVE-2020-1594 در مجموعه نرم‌افزاری Office اشاره کرد. ارسال ایمیل فیشینگ با پیوست مخرب می‌تواند از جمله سناریوهای محتمل مهاجمان برای بهره‌جویی از این آسیب‌پذیری‌ها باشد.
فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه اصلاحیه‌های ماه سپتامبر مایکروسافت در جدول زیر قابل مطالعه است:

محصول	شناسه CVE	ملاحظات	سطح حساسیت
Active Directory	CVE-2020-0761	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Active Directory	CVE-2020-0856	آسیب‌پذیری به حملات “نشت اطلاعات” (Information Disclosure)	مهم
Active Directory	CVE-2020-0718	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Active Directory	CVE-2020-0664	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Active Directory Federation Services	CVE-2020-0837	آسیب‌پذیری به حملات “جعل” (Spoofing)	مهم
ASP.NET	CVE-2020-1045	آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی” (Security Feature Bypass)	مهم
Common Log File System Driver	CVE-2020-1115	آسیب‌پذیری به حملات “ترفیع امتیازی” (Elevation of Privilege)	مهم
Internet Explorer	CVE-2020-1012	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Internet Explorer	CVE-2020-16884	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	مهم
Internet Explorer	CVE-2020-1506	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Browsers	CVE-2020-0878	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	حیاتی
Microsoft Dynamics	CVE-2020-16857	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Dynamics	CVE-2020-16858	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت” (XSS)	مهم
Microsoft Dynamics	CVE-2020-16860	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Dynamics	CVE-2020-16859	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Dynamics	CVE-2020-16861	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Dynamics	CVE-2020-16872	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Dynamics	CVE-2020-16864	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Dynamics	CVE-2020-16878	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Dynamics	CVE-2020-16862	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Dynamics	CVE-2020-16871	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Exchange Server	CVE-2020-16875	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	حیاتی
Microsoft Graphics Component	CVE-2020-0921	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Graphics Component	CVE-2020-0998	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Graphics Component	CVE-2020-1091	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Graphics Component	CVE-2020-1152	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Graphics Component	CVE-2020-1097	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Graphics Component	CVE-2020-1083	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Graphics Component	CVE-2020-1053	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Graphics Component	CVE-2020-1308	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Graphics Component	CVE-2020-1245	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Graphics Component	CVE-2020-1285	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Graphics Component	CVE-2020-1256	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Graphics Component	CVE-2020-1250	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft JET Database Engine	CVE-2020-1039	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft JET Database Engine	CVE-2020-1074	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft NTFS	CVE-2020-0838	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Office	CVE-2020-1594	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office	CVE-2020-1335	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office	CVE-2020-16855	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Office	CVE-2020-1338	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office	CVE-2020-1332	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office	CVE-2020-1224	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Office	CVE-2020-1218	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office	CVE-2020-1193	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Microsoft Office SharePoint	CVE-2020-1345	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1205	آسیب‌پذیری به حملات “جعل”	مهم
Microsoft Office SharePoint	CVE-2020-1210	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1514	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1595	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1523	آسیب‌پذیری به حملات “دست‌درازی” (Tampering)	مهم
Microsoft Office SharePoint	CVE-2020-1440	آسیب‌پذیری به حملات “دست‌درازی”	مهم
Microsoft Office SharePoint	CVE-2020-1200	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1482	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1198	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1227	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1576	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1452	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1575	آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت”	مهم
Microsoft Office SharePoint	CVE-2020-1453	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Office SharePoint	CVE-2020-1460	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft OneDrive	CVE-2020-16853	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft OneDrive	CVE-2020-16851	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft OneDrive	CVE-2020-16852	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Scripting Engine	CVE-2020-1057	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	حیاتی
Microsoft Scripting Engine	CVE-2020-1180	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	مهم
Microsoft Scripting Engine	CVE-2020-1172	آسیب‌پذیری به حملات “بروز اختلال در حافظه”	حیاتی
Microsoft Windows	CVE-2020-1596	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-1169	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1593	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows	CVE-2020-1159	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1598	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0790	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0922	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows	CVE-2020-0782	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0648	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0766	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1590	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1376	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1471	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-16879	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-1013	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1532	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1491	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1303	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1252	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows	CVE-2020-1559	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1507	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1508	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows	CVE-2020-0914	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-0886	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0989	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-0875	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-0912	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1038	آسیب‌پذیری به حملات “از کاراندازی سرویس” (Denial of Service)	مهم
Microsoft Windows	CVE-2020-0908	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows	CVE-2020-1052	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0911	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0805	آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”	مهم
Microsoft Windows	CVE-2020-1119	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Microsoft Windows	CVE-2020-1146	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-0951	آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”	مهم
Microsoft Windows	CVE-2020-1122	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows	CVE-2020-1098	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows Codecs Library	CVE-2020-1319	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows Codecs Library	CVE-2020-0997	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows Codecs Library	CVE-2020-1129	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Microsoft Windows DNS	CVE-2020-0839	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Microsoft Windows DNS	CVE-2020-1228	آسیب‌پذیری به حملات “از کاراندازی سرویس”	مهم
Microsoft Windows DNS	CVE-2020-0836	آسیب‌پذیری به حملات “از کاراندازی سرویس”	مهم
Open Source Software	CVE-2020-16873	آسیب‌پذیری به حملات “جعل”	مهم
SQL Server	CVE-2020-1044	آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”	متوسط
Visual Studio	CVE-2020-16874	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	حیاتی
Visual Studio	CVE-2020-16856	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Visual Studio	CVE-2020-16881	آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”	مهم
Windows DHCP Server	CVE-2020-1031	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Diagnostic Hub	CVE-2020-1130	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Windows Diagnostic Hub	CVE-2020-1133	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Windows Hyper-V	CVE-2020-0904	آسیب‌پذیری به حملات “از کاراندازی سرویس”	مهم
Windows Hyper-V	CVE-2020-0890	آسیب‌پذیری به حملات “از کاراندازی سرویس”	مهم
Windows Kernel	CVE-2020-0941	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Kernel	CVE-2020-0928	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Kernel	CVE-2020-16854	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Kernel	CVE-2020-1034	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Windows Kernel	CVE-2020-1033	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Kernel	CVE-2020-1589	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Kernel	CVE-2020-1592	آسیب‌پذیری به حملات “نشت اطلاعات”	مهم
Windows Print Spooler Components	CVE-2020-1030	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم
Windows Shell	CVE-2020-0870	آسیب‌پذیری به حملات “ترفیع امتیازی”	مهم

اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی سپتامبر

اشتراک گذاری

نظرات

دیدگاهتان را بنویسید لغو پاسخ