اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی نوامبر

روابط عمومی

4 سال پیش

سه‌شنبه، 20 آبان، مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی نوامبر منتشر کرد. اصلاحیه‌های مذکور بیش از 110 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.

درجه 18 مورد از این آسیب‌پذیری‌های ترمیم شده “حیاتی” (Critical)، بسیاری از آنها “مهم” (Important) و دو مورد نیز “کم” (Low) گزارش شده است.

یکی از مخرب‌ترین آسیب‌پذیری‌های ترمیم شده در این ماه، ضعفی با شناسه CVE-2020-17051 است که Windows Network File System از آن تأثیر می‌پذیرد. بر طبق استاندارد CVSS به آسیب‌پذیری مذکور شدت اهمیت 9.8 از 10 تخصیص داده شده است. بهره‌جویی از CVE-2020-17051 مهاجم را قادر به “اجرای کد به‌صورت از راه دور” (Remote Code Execution) بدون نیاز به هر گونه دخالت کاربر یا در اختیار داشتن اطلاعات اصالت‌سنجی خواهد کرد.

به گزارش شرکت مهندسی شبکه گستر، یکی از آسیب‌پذیری‌های ترمیم شده توسط مایکروسافت ضعفی از نوع “ترفیع امتیازی” (Privilege Escalation) با شناسه CVE-2020-17087 است که به‌تازگی جزییات آن در پروژه Google Project Zero و در پی مورد بهره‌جویی قرار گرفتن آن توسط مهاجمان به‌طور عمومی افشا شده بود. راه‌انداز Windows Kernel Cryptography Driver – یا cng.sys – از این آسیب‌پذیری روز-صفر (Zero-day) تأثیر می‌پذیرد.

CVE-2020-17042 دیگر آسیب‌پذیری شاخص ترمیم شده در این ماه است. این آسیب‌پذیری ضعفی از نوع “اجرای کد به‌صورت از راه دور” است که از وجود باگی در Print Spooler ناشی می‌شود. با توجه به قدمت Print Spooler، نسخ قدیمی سیستم عامل مایکروسافت نظیر Windows 7 و Windows Server 2008 که پشتیبانی مایکروسافت از آنها و عرضه رایگان اصلاحیه‌های امنیتی برای آنها خاتمه یافته نیز مشمول آسیب‌پذیری مذکور می‌شوند.

بخش موسوم به Scripting Engine در مرورگرهای مایکروسافت نیز شامل یک آسیب‌پذیری حیاتی به شناسه CVE-2020-17052 است که توسط مجموعه اصلاحیه‌های ماه نوامبر ترمیم و اصلاح شده است. سوءاستفاده از آن می‌تواند موجب بروز اختلال در حافظه به‌نحوی گردد که امکان “اجرای کد به‌صورت از راه دور” برای مهاجم فراهم شود. تشویق کاربر به مراجعه به یک سایت حاوی بهره‌جو می‌تواند یکی از سناریوهای احتمالی برای بهره‌جویی از CVE-2020-17052 باشد.

برای ایمن ماندن از گزند تهدیدات مبتنی بر بهره‌جو (Exploit) نصب اصلاحیه‌های امنیتی در اسرع وقت توصیه می‌گردد.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه اصلاحیه‌های ماه نوامبر در جدول زیر قابل دریافت و مطالعه است.

تاریخ انتشار	شناسه CVE	عنوان محصول	شرح آسیب پذیری	افشای عمومی
11/10/2020	CVE-2020-17113	Microsoft Windows Codecs Library	Windows Camera Codec Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17110	Microsoft Windows Codecs Library	HEVC Video Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17109	Microsoft Windows Codecs Library	HEVC Video Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17108	Microsoft Windows Codecs Library	HEVC Video Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17107	Microsoft Windows Codecs Library	HEVC Video Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17106	Microsoft Windows Codecs Library	HEVC Video Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17105	Microsoft Windows Codecs Library	AV1 Video Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17104	Visual Studio	Visual Studio Code JSHint Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17102	Microsoft Windows Codecs Library	WebP Image Extensions Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17101	Microsoft Windows Codecs Library	HEIF Image Extensions Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17100	Visual Studio	Visual Studio Tampering Vulnerability	خیر
11/10/2020	CVE-2020-17091	Microsoft Teams	Microsoft Teams Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17090	Windows Defender	Microsoft Defender for Endpoint Security Feature Bypass Vulnerability	خیر
11/10/2020	CVE-2020-17088	Common Log File System Driver	Windows Common Log File System Driver Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17087	Windows Kernel	Windows Kernel Local Elevation of Privilege Vulnerability	بله
11/10/2020	CVE-2020-17086	Microsoft Windows Codecs Library	Raw Image Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17085	Microsoft Exchange Server	Microsoft Exchange Server Denial of Service Vulnerability	خیر
11/10/2020	CVE-2020-17084	Microsoft Exchange Server	Microsoft Exchange Server Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17083	Microsoft Exchange Server	Microsoft Exchange Server Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17082	Microsoft Windows Codecs Library	Raw Image Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17081	Microsoft Windows Codecs Library	Microsoft Raw Image Extension Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17079	Microsoft Windows Codecs Library	Raw Image Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17078	Microsoft Windows Codecs Library	Raw Image Extension Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17077	Windows Update Stack	Windows Update Stack Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17076	Windows Update Stack	Windows Update Orchestrator Service Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17075	Windows Update Stack	Windows USO Core Worker Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17074	Windows Update Stack	Windows Update Orchestrator Service Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17073	Windows Update Stack	Windows Update Orchestrator Service Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17071	Windows Update Stack	Windows Delivery Optimization Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17070	Windows Update Stack	Windows Update Medic Service Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17069	Windows NDIS	Windows NDIS Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17068	Microsoft Graphics Component	Windows GDI+ Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17067	Microsoft Office	Microsoft Excel Security Feature Bypass Vulnerability	خیر
11/10/2020	CVE-2020-17066	Microsoft Office	Microsoft Excel Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17065	Microsoft Office	Microsoft Excel Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17064	Microsoft Office	Microsoft Excel Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17063	Microsoft Office	Microsoft Office Online Spoofing Vulnerability	خیر
11/10/2020	CVE-2020-17062	Microsoft Office	Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17061	Microsoft Office SharePoint	Microsoft SharePoint Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17060	Microsoft Office SharePoint	Microsoft SharePoint Spoofing Vulnerability	خیر
11/10/2020	CVE-2020-17058	Microsoft Browsers	Microsoft Browser Memory Corruption Vulnerability	خیر
11/10/2020	CVE-2020-17057	Microsoft Windows	Windows Win32k Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17056	Microsoft Windows	Windows Network File System Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17055	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17054	Microsoft Scripting Engine	Chakra Scripting Engine Memory Corruption Vulnerability	خیر
11/10/2020	CVE-2020-17053	Microsoft Scripting Engine	Internet Explorer Memory Corruption Vulnerability	خیر
11/10/2020	CVE-2020-17052	Microsoft Scripting Engine	Scripting Engine Memory Corruption Vulnerability	خیر
11/10/2020	CVE-2020-17051	Microsoft Windows	Windows Network File System Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17049	Microsoft Windows	Kerberos Security Feature Bypass Vulnerability	خیر
11/10/2020	CVE-2020-17048	Microsoft Scripting Engine	Chakra Scripting Engine Memory Corruption Vulnerability	خیر
11/10/2020	CVE-2020-17047	Microsoft Windows	Windows Network File System Denial of Service Vulnerability	خیر
11/10/2020	CVE-2020-17046	Microsoft Windows	Windows Error Reporting Denial of Service Vulnerability	خیر
11/10/2020	CVE-2020-17045	Microsoft Windows	Windows KernelStream Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17044	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17043	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17042	Microsoft Windows	Windows Print Spooler Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17041	Microsoft Windows	Windows Print Configuration Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17040	Microsoft Windows	Windows Hyper-V Security Feature Bypass Vulnerability	خیر
11/10/2020	CVE-2020-17038	Microsoft Graphics Component	Win32k Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17037	Windows WalletService	Windows WalletService Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17036	Microsoft Windows	Windows Function Discovery SSDP Provider Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17035	Windows Kernel	Windows Kernel Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17034	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17033	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17032	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17031	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17030	Microsoft Windows	Windows MSCTF Server Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17029	Microsoft Graphics Component	Windows Caخیرnical Display Driver Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17028	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17027	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17026	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17025	Microsoft Windows	Windows Remote Access Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17024	Microsoft Windows	Windows Client Side Rendering Print Provider Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17021	Microsoft Dynamics	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	خیر
11/10/2020	CVE-2020-17020	Microsoft Office	Microsoft Word Security Feature Bypass Vulnerability	خیر
11/10/2020	CVE-2020-17019	Microsoft Office	Microsoft Excel Remote Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-17018	Microsoft Dynamics	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	خیر
11/10/2020	CVE-2020-17017	Microsoft Office SharePoint	Microsoft SharePoint Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17016	Microsoft Office SharePoint	Microsoft SharePoint Spoofing Vulnerability	خیر
11/10/2020	CVE-2020-17015	Microsoft Office SharePoint	Microsoft SharePoint Spoofing Vulnerability	خیر
11/10/2020	CVE-2020-17014	Microsoft Windows	Windows Print Spooler Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17013	Microsoft Windows	Win32k Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17012	Microsoft Windows	Windows Bind Filter Driver Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17011	Microsoft Windows	Windows Port Class Library Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17010	Microsoft Windows	Win32k Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17007	Microsoft Windows	Windows Error Reporting Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17006	Microsoft Dynamics	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	خیر
11/10/2020	CVE-2020-17005	Microsoft Dynamics	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	خیر
11/10/2020	CVE-2020-17004	Microsoft Graphics Component	Windows Graphics Component Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-17001	Microsoft Windows	Windows Print Spooler Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-17000	Microsoft Windows	Remote Desktop Protocol Client Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16999	Windows WalletService	Windows WalletService Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16998	Microsoft Graphics Component	DirectX Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16997	Microsoft Windows	Remote Desktop Protocol Server Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16994	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-16993	Azure Sphere	Azure Sphere Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16992	Azure Sphere	Azure Sphere Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16991	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-16990	Azure Sphere	Azure Sphere Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16989	Azure Sphere	Azure Sphere Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16988	Azure Sphere	Azure Sphere Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16987	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-16986	Azure Sphere	Azure Sphere Denial of Service Vulnerability	خیر
11/10/2020	CVE-2020-16985	Azure Sphere	Azure Sphere Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16984	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-16983	Azure Sphere	Azure Sphere Tampering Vulnerability	خیر
11/10/2020	CVE-2020-16982	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-16981	Azure Sphere	Azure Sphere Elevation of Privilege Vulnerability	خیر
11/10/2020	CVE-2020-16979	Microsoft Office SharePoint	Microsoft SharePoint Information Disclosure Vulnerability	خیر
11/10/2020	CVE-2020-16970	Azure Sphere	Azure Sphere Unsigned Code Execution Vulnerability	خیر
11/10/2020	CVE-2020-1599	Microsoft Windows	Windows Spoofing Vulnerability	خیر
11/10/2020	CVE-2020-1325	Azure DevOps	Azure DevOps Server and Team Foundation Services Spoofing Vulnerability	خیر