نماد سایت اتاق خبر شبکه گستر

اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی نوامبر

سه‌شنبه، 20 آبان، مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی نوامبر منتشر کرد. اصلاحیه‌های مذکور بیش از 110 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.

درجه 18 مورد از این آسیب‌پذیری‌های ترمیم شده “حیاتی” (Critical)، بسیاری از آنها “مهم” (Important) و دو مورد نیز “کم” (Low) گزارش شده است.

یکی از مخرب‌ترین آسیب‌پذیری‌های ترمیم شده در این ماه، ضعفی با شناسه CVE-2020-17051 است که Windows Network File System از آن تأثیر می‌پذیرد. بر طبق استاندارد CVSS به آسیب‌پذیری مذکور شدت اهمیت 9.8 از 10 تخصیص داده شده است. بهره‌جویی از CVE-2020-17051 مهاجم را قادر به “اجرای کد به‌صورت از راه دور” (Remote Code Execution) بدون نیاز به هر گونه دخالت کاربر یا در اختیار داشتن اطلاعات اصالت‌سنجی خواهد کرد.

به گزارش شرکت مهندسی شبکه گستر، یکی از آسیب‌پذیری‌های ترمیم شده توسط مایکروسافت ضعفی از نوع “ترفیع امتیازی” (Privilege Escalation) با شناسه CVE-2020-17087 است که به‌تازگی جزییات آن در پروژه Google Project Zero و در پی مورد بهره‌جویی قرار گرفتن آن توسط مهاجمان به‌طور عمومی افشا شده بود. راه‌انداز Windows Kernel Cryptography Driver – یا cng.sys – از این آسیب‌پذیری روز-صفر (Zero-day) تأثیر می‌پذیرد.

CVE-2020-17042 دیگر آسیب‌پذیری شاخص ترمیم شده در این ماه است. این آسیب‌پذیری ضعفی از نوع “اجرای کد به‌صورت از راه دور” است که از وجود باگی در Print Spooler ناشی می‌شود. با توجه به قدمت Print Spooler، نسخ قدیمی سیستم عامل مایکروسافت نظیر Windows 7 و Windows Server 2008 که پشتیبانی مایکروسافت از آنها و عرضه رایگان اصلاحیه‌های امنیتی برای آنها خاتمه یافته نیز مشمول آسیب‌پذیری مذکور می‌شوند.

بخش موسوم به Scripting Engine در مرورگرهای مایکروسافت نیز شامل یک آسیب‌پذیری حیاتی به شناسه CVE-2020-17052 است که توسط مجموعه اصلاحیه‌های ماه نوامبر ترمیم و اصلاح شده است. سوءاستفاده از آن می‌تواند موجب بروز اختلال در حافظه به‌نحوی گردد که امکان “اجرای کد به‌صورت از راه دور” برای مهاجم فراهم شود. تشویق کاربر به مراجعه به یک سایت حاوی بهره‌جو می‌تواند یکی از سناریوهای احتمالی برای بهره‌جویی از CVE-2020-17052 باشد.

برای ایمن ماندن از گزند تهدیدات مبتنی بر بهره‌جو (Exploit) نصب اصلاحیه‌های امنیتی در اسرع وقت توصیه می‌گردد.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه اصلاحیه‌های ماه نوامبر در جدول زیر قابل دریافت و مطالعه است.

تاریخ انتشار

شناسه CVE

عنوان محصول

شرح آسیب پذیری

افشای عمومی

11/10/2020

CVE-2020-17113

Microsoft Windows Codecs Library

Windows Camera Codec Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17110

Microsoft Windows Codecs Library

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17109

Microsoft Windows Codecs Library

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17108

Microsoft Windows Codecs Library

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17107

Microsoft Windows Codecs Library

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17106

Microsoft Windows Codecs Library

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17105

Microsoft Windows Codecs Library

AV1 Video Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17104

Visual Studio

Visual Studio Code JSHint Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17102

Microsoft Windows Codecs Library

WebP Image Extensions Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17101

Microsoft Windows Codecs Library

HEIF Image Extensions Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17100

Visual Studio

Visual Studio Tampering Vulnerability

خیر

11/10/2020

CVE-2020-17091

Microsoft Teams

Microsoft Teams Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17090

Windows Defender

Microsoft Defender for Endpoint Security Feature Bypass Vulnerability

خیر

11/10/2020

CVE-2020-17088

Common Log File System Driver

Windows Common Log File System Driver Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17087

Windows Kernel

Windows Kernel Local Elevation of Privilege Vulnerability

بله

11/10/2020

CVE-2020-17086

Microsoft Windows Codecs Library

Raw Image Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17085

Microsoft Exchange Server

Microsoft Exchange Server Denial of Service Vulnerability

خیر

11/10/2020

CVE-2020-17084

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17083

Microsoft Exchange Server

Microsoft Exchange Server Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17082

Microsoft Windows Codecs Library

Raw Image Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17081

Microsoft Windows Codecs Library

Microsoft Raw Image Extension Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17079

Microsoft Windows Codecs Library

Raw Image Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17078

Microsoft Windows Codecs Library

Raw Image Extension Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17077

Windows Update Stack

Windows Update Stack Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17076

Windows Update Stack

Windows Update Orchestrator Service Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17075

Windows Update Stack

Windows USO Core Worker Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17074

Windows Update Stack

Windows Update Orchestrator Service Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17073

Windows Update Stack

Windows Update Orchestrator Service Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17071

Windows Update Stack

Windows Delivery Optimization Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17070

Windows Update Stack

Windows Update Medic Service Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17069

Windows NDIS

Windows NDIS Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17068

Microsoft Graphics Component

Windows GDI+ Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17067

Microsoft Office

Microsoft Excel Security Feature Bypass Vulnerability

خیر

11/10/2020

CVE-2020-17066

Microsoft Office

Microsoft Excel Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17065

Microsoft Office

Microsoft Excel Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17064

Microsoft Office

Microsoft Excel Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17063

Microsoft Office

Microsoft Office Online Spoofing Vulnerability

خیر

11/10/2020

CVE-2020-17062

Microsoft Office

Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17061

Microsoft Office SharePoint

Microsoft SharePoint Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17060

Microsoft Office SharePoint

Microsoft SharePoint Spoofing Vulnerability

خیر

11/10/2020

CVE-2020-17058

Microsoft Browsers

Microsoft Browser Memory Corruption Vulnerability

خیر

11/10/2020

CVE-2020-17057

Microsoft Windows

Windows Win32k Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17056

Microsoft Windows

Windows Network File System Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17055

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17054

Microsoft Scripting Engine

Chakra Scripting Engine Memory Corruption Vulnerability

خیر

11/10/2020

CVE-2020-17053

Microsoft Scripting Engine

Internet Explorer Memory Corruption Vulnerability

خیر

11/10/2020

CVE-2020-17052

Microsoft Scripting Engine

Scripting Engine Memory Corruption Vulnerability

خیر

11/10/2020

CVE-2020-17051

Microsoft Windows

Windows Network File System Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17049

Microsoft Windows

Kerberos Security Feature Bypass Vulnerability

خیر

11/10/2020

CVE-2020-17048

Microsoft Scripting Engine

Chakra Scripting Engine Memory Corruption Vulnerability

خیر

11/10/2020

CVE-2020-17047

Microsoft Windows

Windows Network File System Denial of Service Vulnerability

خیر

11/10/2020

CVE-2020-17046

Microsoft Windows

Windows Error Reporting Denial of Service Vulnerability

خیر

11/10/2020

CVE-2020-17045

Microsoft Windows

Windows KernelStream Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17044

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17043

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17042

Microsoft Windows

Windows Print Spooler Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17041

Microsoft Windows

Windows Print Configuration Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17040

Microsoft Windows

Windows Hyper-V Security Feature Bypass Vulnerability

خیر

11/10/2020

CVE-2020-17038

Microsoft Graphics Component

Win32k Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17037

Windows WalletService

Windows WalletService Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17036

Microsoft Windows

Windows Function Discovery SSDP Provider Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17035

Windows Kernel

Windows Kernel Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17034

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17033

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17032

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17031

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17030

Microsoft Windows

Windows MSCTF Server Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17029

Microsoft Graphics Component

Windows Caخیرnical Display Driver Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17028

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17027

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17026

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17025

Microsoft Windows

Windows Remote Access Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17024

Microsoft Windows

Windows Client Side Rendering Print Provider Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17021

Microsoft Dynamics

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

11/10/2020

CVE-2020-17020

Microsoft Office

Microsoft Word Security Feature Bypass Vulnerability

خیر

11/10/2020

CVE-2020-17019

Microsoft Office

Microsoft Excel Remote Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-17018

Microsoft Dynamics

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

11/10/2020

CVE-2020-17017

Microsoft Office SharePoint

Microsoft SharePoint Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17016

Microsoft Office SharePoint

Microsoft SharePoint Spoofing Vulnerability

خیر

11/10/2020

CVE-2020-17015

Microsoft Office SharePoint

Microsoft SharePoint Spoofing Vulnerability

خیر

11/10/2020

CVE-2020-17014

Microsoft Windows

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17013

Microsoft Windows

Win32k Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17012

Microsoft Windows

Windows Bind Filter Driver Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17011

Microsoft Windows

Windows Port Class Library Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17010

Microsoft Windows

Win32k Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17007

Microsoft Windows

Windows Error Reporting Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17006

Microsoft Dynamics

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

11/10/2020

CVE-2020-17005

Microsoft Dynamics

Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability

خیر

11/10/2020

CVE-2020-17004

Microsoft Graphics Component

Windows Graphics Component Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-17001

Microsoft Windows

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-17000

Microsoft Windows

Remote Desktop Protocol Client Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16999

Windows WalletService

Windows WalletService Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16998

Microsoft Graphics Component

DirectX Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16997

Microsoft Windows

Remote Desktop Protocol Server Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16994

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-16993

Azure Sphere

Azure Sphere Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16992

Azure Sphere

Azure Sphere Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16991

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-16990

Azure Sphere

Azure Sphere Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16989

Azure Sphere

Azure Sphere Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16988

Azure Sphere

Azure Sphere Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16987

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-16986

Azure Sphere

Azure Sphere Denial of Service Vulnerability

خیر

11/10/2020

CVE-2020-16985

Azure Sphere

Azure Sphere Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16984

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-16983

Azure Sphere

Azure Sphere Tampering Vulnerability

خیر

11/10/2020

CVE-2020-16982

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-16981

Azure Sphere

Azure Sphere Elevation of Privilege Vulnerability

خیر

11/10/2020

CVE-2020-16979

Microsoft Office SharePoint

Microsoft SharePoint Information Disclosure Vulnerability

خیر

11/10/2020

CVE-2020-16970

Azure Sphere

Azure Sphere Unsigned Code Execution Vulnerability

خیر

11/10/2020

CVE-2020-1599

Microsoft Windows

Windows Spoofing Vulnerability

خیر

11/10/2020

CVE-2020-1325

Azure DevOps

Azure DevOps Server and Team Foundation Services Spoofing Vulnerability

خیر

خروج از نسخه موبایل