اصلاحیههای عرضه شده در دی ۱۳۹۹
در دی ۱۳۹۹، شرکتهای مایکروسافت، سیسکو، مکآفی، بیتدیفندر، ادوبی، گوگل، موزیلا، زایکسل، سیتریکس، اسآپ و اِنویدیا و بنیاد آپاچی اقدام به عرضه بهروزرسانی و توصیهنامه امنیتی برای برخی محصولات خود کردند.
23 دی، شرکت مایکروسافت (Microsoft Corp) مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژانویه منتشر کرد. این اصلاحیهها در مجموع، ۸۳ آسیبپذیری را در سیستم عامل Windows و طیف وسیعی از سرویسها و نرمافزارهای مایکروسافت ترمیم میکنند. درجه اهمیت ۱۰ مورد از آسیبپذیریهای ترمیم شده توسط اصلاحیههای مذکور “حیاتی” (Critical) و 73 مورد “بااهمیت” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “بااهمیت” برطرف و ترمیم میگردند.
یکی از آسیبپذیریهای ترمیم شده توسط این مجموعه اصلاحیهها، ضعفی “روز-صفر” (Zero-day) در نرمافزار Microsoft Defender است که جزییات آن پیشتر افشا شده بود. بهرهجویی از این آسیبپذیری به شناسه CVE-2021-1647 مهاجم را قادر به “اجرای کد بهصورت از راه دور” (Remote Code Execution) میکند. این ضعف امنیتی “روز-صفر” در Microsoft Malware Protection Engine 1.1.17700.4 و نسخ بعد از آن ترمیم شده است.
مایکروسافت همچنین یک آسیبپذیری از نوع “ترفیع امتیازی” (Elevation of Privilege) با شناسه CVE-2021-1648 را در بخش splwow64 سیستم عامل Windows ترمیم کرده است. Google Project Zero در سپتامبر ۲۰۲۰ جزییات این آسیبپذیری را، البته با شناسه CVE-2020-0986 منتشر کرده بود.
مایکروسافت در 18 دی ماه نیز با انتشار نسخه 87.0.664.75 نرمافزار Edge،ث13 آسیبپذیری امنیتی را در نسخه موسوم به Chromium-based این مرورگر ترمیم کرده بود. جزییات بیشتر در لینک زیر قابل دریافت است:
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای ماه ژانویه مایکروسافت در لینک زیر قابل دریافت و مطالعه است:
لازم به ذکر است که هفته گذشته 0patch اقدام به عرضه یک Micropatch برای ترمیم ضعفی از نوع ترفیع امتیازی در ابزار PsExec کرد. PsExec یکی از برنامههای ارائه شده در مجموعه Sysinternals است که راهبران را قادر به اجرای کد بهصورت از راه دور میکند. اگر چه PsExec جزیی از Windows نیست اما توسط بسیاری از راهبران و نرمافزارهای سازمانی برای اجرای از راه دور برنامهها، انجام بهروزرسانی یا فراخوانی سایر فرامین مدیریتی مورد استفاده قرار میگیرد. لذا با توجه به فراگیری استفاده از آن به ویژه در بسترهای سازمانی، استفاده از این Micropatch که در لینک زیر در دسترس قرار گرفته توصیه شده است.
توضیح این که مایکروسافت اصلاحیه رسمی برای آسیبپذیری مذکور عرضه نکرده است.
شرکت سیسکو (Cisco Systems Inc) در دی ماه در چندین نوبت اقدام به عرضه اصلاحیههای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها در مجموع، 31 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 8 مورد از آنها “بالا” (High) گزارش شده است. آسیبپذیری به حملاتی همچون “اجرای کد بهصورت از راه دور”، “تزریق کد از طریق سایت” (Cross-Site Scripting) و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
در دی 1399 شرکت امنیتی مکآفی (McAfee Corp) اقدام به عرضه نسخ جدید برای برخی از محصولات امنیت نقاط پایانی و امنیت اطلاعات خود کرد. از جمله موارد لحاظ شده در بهروزرسانیهای جدید میتوان به پشتیبانی از بسترهای جدید، افزایش قابلیتها و ترمیم آسیبپذیریهای امنیتی و برطرف شدن باگهای عملکردی اشاره کرد. جزییات بیشتر در لینکهای زیر قابل دریافت است:
- McAfee Agent 5.7.1 (https://docs.mcafee.com/bundle/agent-5.7.x-release-notes-epolicy-orchestrator)
- Endpoint Security for Linux 10.7.3 (https://docs.mcafee.com/bundle/endpoint-security-10.7.3-threat-prevention-release-notes-linux)
در دهمین ماه از سال ۱۳۹۹ شرکت بیتدیفندر اقدام به انتشار نسخ 6.6.23.329 و 4.15.124.200124 بهترتیب برای محصولات
Endpoint Security Tools for Windows و Endpoint Security for Mac و افزودن قابلیتهای جدید در آنها کرد. جزییات بیشتر را در لینکهای زیر بخوانید:
- https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-6-23-329-release-notes-(windows)-2647.html
- https://www.bitdefender.com/support/endpoint-security-for-mac-version-4-15-124-200124-release-notes-2648.html
ادوبی (Adobe Inc) نیز در دی ماه، چندین آسیبپذیری را در محصولات زیر ترمیم و اصلاح کرد:
- Photoshop (https://helpx.adobe.com/security/products/photoshop/apsb21-01.html)
- Illustrator (https://helpx.adobe.com/security/products/illustrator/apsb21-02.html)
- Animate (https://helpx.adobe.com/security/products/animate/apsb21-03.html)
- Campaign Classic (https://helpx.adobe.com/security/products/campaign/apsb21-04.html)
- InCopy (https://helpx.adobe.com/security/products/incopy/apsb21-05.html)
- Captivate (https://helpx.adobe.com/security/products/captivate/apsb21-06.html)
- Bridge (https://helpx.adobe.com/security/products/bridge/apsb21-07.html)
لازم به ذکر است که ۱۲ دی ماه شرکت ادوبی، رسماً توزیع نرمافزار Flash Player و عرضه اصلاحیه برای آن را متوقف کرد. عدم انتشار اصلاحیههای امنیتی برای Flash Player بهمعنای آسیبپذیری هر چه بیشتر دستگاههایی است که این نرمافزار بر روی آنها نصب است. لذا حذف این محصول از روی تمامی دستگاههای سازمان به تمامی راهبران توصیه میشود. جزییات بیشتر در خصوص پایان حیات این نرمافزار در لینک زیر قابل مطالعه است:
در 17 دی شرکت گوگل (Google LLC) با عرضه نسخه 87.0.4280.141 اقدام به ترمیم 16 آسیبپذیریهای امنیتی مرورگر Chrome کرد. فهرست اشکالات مرتفع شده در لینک زیر قابل دریافت و مشاهده است:
در ماهی که گذشت شرکت موزیلا (Mozilla Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. درجه حساسیت همه این آسیبپذیریهای ترمیم شده، “حیاتی” گزارش شده است. توضیحات بیشتر در لینکهای زیر قابل مطالعه است:
- https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
- https://www.mozilla.org/en-US/security/advisories/mfsa2021-02/
به تازگی نیز شرکت زایکسل (Zyxel Communications Corp)، یک آسیبپذیری حیاتی را در ثابتافزار (Firmware) دستگاههای خود ترمیم کرده است. ضعف امنیتی مذکور که به آن شناسه CVE-2020-29583 تخصیص داده شده از وجود یک حساب کاربری مخفی و مستندنشده در کد ثابتافزار ناشی میشود. بهرهجویی از CVE-2020-29583 مهاجم را قادر به در اختیار گرفتن کنترل دستگاه با سطح دسترسی admin میکند. جزییات بیشتر در مورد آسیبپذیری مذکور و روش اصلاح آن در مطلبی که مرکز مدیریت راهبردی افتای ریاست جمهوری با همکاری شرکت مهندسی شبکه گستر آن را تهیه کرده قابل مطالعه است:
بر طبق اعلام سیتریکس (Citrix Systems, Inc)، مهاجمان، محصولات Citrix ADC و Citrix Gateway را هدف حمله DDoS قرار دادهاند. در نتیجه اجرای این حمله، توان عملیاتی Citrix ADC DTLS کاهش یافته و بهطور بالقوه پهنای باند خروجی اشغال میشود.
پیامد این حمله بر روی ارتباطات با پهنای باند محدود، شدیدتر است. Datagram Transport Layer Security – به اختصار DTLS – پودمانی است که هدف آن امن کردن ارتباطات برنامهها و سرویسهای حساس به تأخیر (Delay-sensitive)
در بستر Datagram Transport است. بهتازگی این شرکت قابلیتی با عنوان را HelloVerifyRequest در نسخ جدید ثابتافزارهای خود لحاظ کرده که موجب بیاثر شدن این حملات میشود. جزییات کامل این حملات و راهکار سیتریکس در لینک زیر قابل دریافت و مطالعه است:
اسآپ (SAP SE) دیگر شرکتی بود که در دی ماه ۹۹ با انتشار بهروزرسانی امنیتی، آسیبپذیریهایی را در چندین محصول خود برطرف کرد. بهرهجویی از بعضی از این آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
در دی، بنیاد نرمافزاری آپاچی (Apache Software Foundation)، ضعفی به شناسه CVE-2021-24122 را در Apache Tomcat منتشر کرد که سوءاستفاده از آن مهاجم را قادر به دستیابی به اطلاعات بالقوه حساس میکند. اطلاعات بیشتر در لینک زیر در دسترس است:
22 دی، اِنویدیا (Nvidia Corp) با انتشار بهروزرسانیهای امنیتی، چندین آسیبپذیری را در محصولات GPU و Virtual GPU – به اختصار vGPU – ساخت این شرکت ترمیم و اصلاح کرده است. راهاندازهای GPU (در بسترهای Windows و Linux) از شش مورد و نرمافزارهای vGPU از ده مورد از این آسیبپذیریهای ترمیمشده تأثیر میپذیرند. جزییات بیشتر را در گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری که با مشارکت شرکت مهندسی شبکه گستر تهیه شده قابل دسترس است:
