نماد سایت اتاق خبر شبکه گستر

آخرین اصلاحیه‌های ماهانه مایکروسافت در سال 2020

سه‌شنبه، 18 آذر، مایکروسافت مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی دسامبر منتشر کرد. اصلاحیه‌های مذکور 58 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.

شدت حساسیت 9 مورد از این آسیب‌پذیری‌های ترمیم شده “حیاتی” (Critical)،و 48 مورد از آنها “مهم” (Important) و دو مورد دیگر “متوسط” (Moderate) گزارش شده است.

هیچکدام از آسیب‌پذیری‌های ترمیم شده در این ماه “روز-صفر” (Zero-day) اعلام نشده‌اند.

مایکروسافت در توصیه‌نامه‌ای به یک آسیب‌پذیری موسوم به “مسموم‌سازی حافظه نهان DNS” یا DNS Cache Poisoning پرداخته که توسط محققان دانشگاه‌های چینهوا و کالیفرنیا کشف شده‌ بود. در توصیه‌نامه ضمن تایید وجود این آسیب‌پذیری، مایکروسافت آن را نتیجه وجود باگی در IP Fragmentation در Windows DNS Resolver دانسته است. بهره‌جویی موفق از این آسیب‌پذیری می‌تواند مهاجم را قادر به جعل بسته‌های DNS و در نهایت ذخیره شدن اطلاعات نادرست در حافظه نهان توسط DNS Forwarder یا DNS Resolver کند.

برای ترمیم این آسیب‌پذیری، راهبران می‌توانند از طریق Registry مقدار حداکثری UDP را به 1,221 تغییر دهند. در این صورت برای درخواست‌های DNS بزرگ‌تر از مقدار مذکور، DNS Resolver اقدام به تغییر پودمان از UDP به TCP می‌کند. توصیه‌نامه مایکروسافت در این خصوص در لینک زیر قابل دریافت است:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV200013

از جمله آسیب‌پذیری‌های شاخص که توسط اصلاحیه‌های این ماه ترمیم شده‌اند می‌توان به موارد زیر اشاره کرد:

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه اصلاحیه‌های ماه دسامبر مایکروسافت در جدول زیر قابل مطالعه است:

محصول

شناسه CVE

 ملاحظات

سطح حساسیت

Azure DevOps

CVE-2020-17145

آسیب‌پذیری به حملات “جعل” (Spoofing)

مهم

Azure DevOps

CVE-2020-17135

آسیب‌پذیری به حملات “جعل”

مهم

Azure SDK

CVE-2020-17002

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی” (Security Feature Bypass)

مهم

Azure SDK

CVE-2020-16971

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Azure Sphere

CVE-2020-17160

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Microsoft Dynamics

CVE-2020-17147

آسیب‌پذیری به حملات “تزریق اسکریپت از طریق سایت” (XSS)

مهم

Microsoft Dynamics

CVE-2020-17133

آسیب‌پذیری به حملات “افشای اطلاعات” (Information Disclosure)

مهم

Microsoft Dynamics

CVE-2020-17158

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Dynamics

CVE-2020-17152

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Edge

CVE-2020-17153

آسیب‌پذیری به حملات “جعل”

متوسط

Microsoft Edge

CVE-2020-17131

آسیب‌پذیری به حملات “بروز اختلال در حافظه” (Memory Corruption)

حیاتی

Microsoft Exchange Server

CVE-2020-17143

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Exchange Server

CVE-2020-17144

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Exchange Server

CVE-2020-17141

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Exchange Server

CVE-2020-17117

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Exchange Server

CVE-2020-17132

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Exchange Server

CVE-2020-17142

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Graphics Component

CVE-2020-17137

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Graphics Component

CVE-2020-17098

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Office

CVE-2020-17130

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Microsoft Office

CVE-2020-17128

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17129

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17124

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17123

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17119

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Office

CVE-2020-17125

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17127

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office

CVE-2020-17126

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Office

CVE-2020-17122

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Microsoft Office SharePoint

CVE-2020-17115

آسیب‌پذیری به حملات “جعل”

متوسط

Microsoft Office SharePoint

CVE-2020-17120

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Office SharePoint

CVE-2020-17121

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Office SharePoint

CVE-2020-17118

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Microsoft Office SharePoint

CVE-2020-17089

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Windows

CVE-2020-17136

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Windows

CVE-2020-16996

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Microsoft Windows

CVE-2020-17138

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Microsoft Windows

CVE-2020-17092

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Windows

CVE-2020-17139

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Microsoft Windows

CVE-2020-17103

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Windows

CVE-2020-17134

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Microsoft Windows DNS

ADV200013

آسیب‌پذیری به حملات “جعل”

مهم

Visual Studio

CVE-2020-17148

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Visual Studio

CVE-2020-17159

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Visual Studio

CVE-2020-17156

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Visual Studio

CVE-2020-17150

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Windows Backup Engine

CVE-2020-16960

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16958

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16959

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16961

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16964

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16963

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Backup Engine

CVE-2020-16962

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows Error Reporting

CVE-2020-17094

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

Windows Hyper-V

CVE-2020-17095

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

حیاتی

Windows Lock Screen

CVE-2020-17099

آسیب‌پذیری به حملات “عبور از سد تنظیمات امنیتی”

مهم

Windows Media

CVE-2020-17097

آسیب‌پذیری به حملات “ترفیع امتیازی”

مهم

Windows SMB

CVE-2020-17096

آسیب‌پذیری به حملات “اجرای کد به‌صورت از راه دور”

مهم

Windows SMB

CVE-2020-17140

آسیب‌پذیری به حملات “افشای اطلاعات”

مهم

خروج از نسخه موبایل