اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی مارس

روابط عمومی

4 سال پیش

سه‌شنبه، 19 اسفند، شرکت مایکروسافت (Microsoft Corp)، مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس منتشر کرد. اصلاحیه‌های مذکور در مجموع 82 آسیب‌پذیری را در Windows و محصولات و اجزای نرم‌افزاری زیر ترمیم می‌کنند:

Azure
HEVC Video Extensions
Internet Explorer
Microsoft 365 Apps for Enterprise
Microsoft Business Productivity Servers
Microsoft Edge
Microsoft Excel
Microsoft Office
Microsoft PowerPoint
Microsoft Quantum Development Kit for Visual Studio Code
Microsoft SharePoint
Microsoft Visio
Microsoft Visual Studio
Power BI Report Server
Visual Studio

درجه اهمیت 10 مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و 72 مورد “مهم” (Important) اعلام شده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به برخی از بااهیمت‌ترین اصلاحیه‌های ماه مارس مایکروسافت پرداخته شده است.

دو مورد از آسیب‌پذیری‌های ترمیم شده توسط این اصلاحیه‌ها، روز-صفر (Zero-day) بوده و جزییات آنها پیش‌تر به‌صورت عمومی منتشر شده بود. فهرست این آسیب‌پذیری‌های روز-صفر به شرح زیر است:

CVE-2021-26411 که ضعفی از نوع Memory Corruption در مرورگر Internet Explorer است. هدایت کاربر به یک صفحه حاوی کد Exploit آن می‌تواند یکی از سناریوهای احتمالی سوءاستفاده از این آسیب‌پذیری باشد. نکته بسیار مهم این که حداقل از ماه فوریه گروهی از مهاجمان از آسیب‌پذیری مذکور به منظور نصب یک Backdoor سفارشی بر روی اهداف خود استفاده کرده‌اند.
CVE-2021-27077 که ضعفی از Elevation of Privilege است که Win32k در سیستم عامل Windows متأثر می‌شود.

همچنین چندین آسیب‌پذیری در سرویس DNS سیستم عامل Windows توسط اصلاحیه‌های این ماه ترمیم شده‌اند. CVE-2021-26877، CVE-2021-26893، CVE-2021-26894، CVE-2021-26895 و CVE-2021-26897 در دسته از RCE و CVE-2021-27063 و CVE-2021-26896 در دسته آسیب‌پذیری‌های Denial of Service (از کاراندازی سرویس) قرار می‌گیرند.

لازم به ذکر است که 12 اسفند ماه شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری بحرانی روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرد. جزییات بیشتر در خصوص این به‌روزرسانی‌ها در لینک زیر قابل مطالعه است:

https://newsroom.shabakeh.net/22058/

به‌روزرسانی‌های 12 اسفند علاوه بر موارد بالا سه آسیب‌پذیری زیر را نیز که همگی از نوع RCE (اجرای کد به صورت از راه دور) هستند در Microsoft Exchange ترمیم می‌کنند:

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه‌اصلاحیه‌های مارس ۲۰۲۱ مایکروسافت در جدول زیر قابل دریافت و مطالعه است.

محصول	شناسه CVE	شرح آسیب‌پذیری	شدت حساسیت
Application Virtualization	CVE-2021-26890	Application Virtualization Remote Code Execution Vulnerability	مهم
Azure	CVE-2021-27075	Azure Virtual Machine Information Disclosure Vulnerability	مهم
Azure Sphere	CVE-2021-27074	Azure Sphere Unsigned Code Execution Vulnerability	حیاتی
Azure Sphere	CVE-2021-27080	Azure Sphere Unsigned Code Execution Vulnerability	حیاتی
Internet Explorer	CVE-2021-27085	Internet Explorer Remote Code Execution Vulnerability	مهم
Internet Explorer	CVE-2021-26411	Internet Explorer Memory Corruption Vulnerability	حیاتی
Microsoft ActiveX	CVE-2021-26869	Windows ActiveX Installer Service Information Disclosure Vulnerability	مهم
Microsoft Edge on Chromium	CVE-2021-21173	Chromium CVE-2021-21173: Side-channel information leakage in Network Internals	–
Microsoft Edge on Chromium	CVE-2021-21172	Chromium CVE-2021-21172: Insufficient policy enforcement in File System API	–
Microsoft Edge on Chromium	CVE-2021-21169	Chromium CVE-2021-21169: Out of bounds memory access in V8	–
Microsoft Edge on Chromium	CVE-2021-21170	Chromium CVE-2021-21170: Incorrect security UI in Loader	–
Microsoft Edge on Chromium	CVE-2021-21171	Chromium CVE-2021-21171: Incorrect security UI in TabStrip and Navigation	–
Microsoft Edge on Chromium	CVE-2021-21175	Chromium CVE-2021-21175: Inappropriate implementation in Site isolation	–
Microsoft Edge on Chromium	CVE-2021-21176	Chromium CVE-2021-21176: Inappropriate implementation in full screen mode	–
Microsoft Edge on Chromium	CVE-2021-21177	Chromium CVE-2021-21177: Insufficient policy enforcement in Autofill	–
Microsoft Edge on Chromium	CVE-2021-21174	Chromium CVE-2021-21174: Inappropriate implementation in Referrer	–
Microsoft Edge on Chromium	CVE-2021-21178	Chromium CVE-2021-21178 : Inappropriate implementation in Compositing	–
Microsoft Edge on Chromium	CVE-2021-21161	Chromium CVE-2021-21161: Heap buffer overflow in TabStrip	–
Microsoft Edge on Chromium	CVE-2021-21162	Chromium CVE-2021-21162: Use after free in WebRTC	–
Microsoft Edge on Chromium	CVE-2021-21160	Chromium CVE-2021-21160: Heap buffer overflow in WebAudio	–
Microsoft Edge on Chromium	CVE-2020-27844	Chromium CVE-2020-27844: Heap buffer overflow in OpenJPEG	–
Microsoft Edge on Chromium	CVE-2021-21159	Chromium CVE-2021-21159: Heap buffer overflow in TabStrip	–
Microsoft Edge on Chromium	CVE-2021-21163	Chromium CVE-2021-21163: Insufficient data validation in Reader Mode	–
Microsoft Edge on Chromium	CVE-2021-21167	Chromium CVE-2021-21167: Use after free in bookmarks	–
Microsoft Edge on Chromium	CVE-2021-21168	Chromium CVE-2021-21168: Insufficient policy enforcement in appcache	–
Microsoft Edge on Chromium	CVE-2021-21166	Chromium CVE-2021-21166: Object lifecycle issue in audio	–
Microsoft Edge on Chromium	CVE-2021-21164	Chromium CVE-2021-21164: Insufficient data validation in Chrome for iOS	–
Microsoft Edge on Chromium	CVE-2021-21165	Chromium CVE-2021-21165: Object lifecycle issue in audio	–
Microsoft Edge on Chromium	CVE-2021-21189	Chromium CVE-2021-21189: Insufficient policy enforcement in payments	–
Microsoft Edge on Chromium	CVE-2021-21181	Chromium CVE-2021-21181: Side-channel information leakage in autofill	–
Microsoft Edge on Chromium	CVE-2021-21186	Chromium CVE-2021-21186: Insufficient policy enforcement in QR scanning	–
Microsoft Edge on Chromium	CVE-2021-21190	Chromium CVE-2021-21190 : Uninitialized Use in PDFium	–
Microsoft Edge on Chromium	CVE-2021-21183	Chromium CVE-2021-21183: Inappropriate implementation in performance APIs	–
Microsoft Edge on Chromium	CVE-2021-21185	Chromium CVE-2021-21185: Insufficient policy enforcement in extensions	–
Microsoft Edge on Chromium	CVE-2021-21187	Chromium CVE-2021-21187: Insufficient data validation in URL formatting	–
Microsoft Edge on Chromium	CVE-2021-21182	Chromium CVE-2021-21182: Insufficient policy enforcement in navigations	–
Microsoft Edge on Chromium	CVE-2021-21180	Chromium CVE-2021-21180: Use after free in tab search	–
Microsoft Edge on Chromium	CVE-2021-21184	Chromium CVE-2021-21184: Inappropriate implementation in performance APIs	–
Microsoft Edge on Chromium	CVE-2021-21179	Chromium CVE-2021-21179: Use after free in Network Internals	–
Microsoft Edge on Chromium	CVE-2021-21188	Chromium CVE-2021-21188: Use after free in Blink	–
Microsoft Exchange Server	CVE-2021-26412	Microsoft Exchange Server Remote Code Execution Vulnerability	حیاتی
Microsoft Exchange Server	CVE-2021-27065	Microsoft Exchange Server Remote Code Execution Vulnerability	حیاتی
Microsoft Exchange Server	CVE-2021-27078	Microsoft Exchange Server Remote Code Execution Vulnerability	مهم
Microsoft Exchange Server	CVE-2021-26854	Microsoft Exchange Server Remote Code Execution Vulnerability	مهم
Microsoft Exchange Server	CVE-2021-26857	Microsoft Exchange Server Remote Code Execution Vulnerability	حیاتی
Microsoft Exchange Server	CVE-2021-26855	Microsoft Exchange Server Remote Code Execution Vulnerability	حیاتی
Microsoft Exchange Server	CVE-2021-26858	Microsoft Exchange Server Remote Code Execution Vulnerability	مهم
Microsoft Graphics Component	CVE-2021-26863	Windows Win32k Elevation of Privilege Vulnerability	مهم
Microsoft Graphics Component	CVE-2021-27077	Windows Win32k Elevation of Privilege Vulnerability	مهم
Microsoft Graphics Component	CVE-2021-26861	Windows Graphics Component Remote Code Execution Vulnerability	مهم
Microsoft Graphics Component	CVE-2021-26876	OpenType Font Parsing Remote Code Execution Vulnerability	حیاتی
Microsoft Graphics Component	CVE-2021-26875	Windows Win32k Elevation of Privilege Vulnerability	مهم
Microsoft Graphics Component	CVE-2021-26868	Windows Graphics Component Elevation of Privilege Vulnerability	مهم
Microsoft Office	CVE-2021-24108	Microsoft Office Remote Code Execution Vulnerability	مهم
Microsoft Office	CVE-2021-27058	Microsoft Office ClickToRun Remote Code Execution Vulnerability	مهم
Microsoft Office	CVE-2021-27059	Microsoft Office Remote Code Execution Vulnerability	مهم
Microsoft Office Excel	CVE-2021-27053	Microsoft Excel Remote Code Execution Vulnerability	مهم
Microsoft Office Excel	CVE-2021-27054	Microsoft Excel Remote Code Execution Vulnerability	مهم
Microsoft Office Excel	CVE-2021-27057	Microsoft Office Remote Code Execution Vulnerability	مهم
Microsoft Office PowerPoint	CVE-2021-27056	Microsoft PowerPoint Remote Code Execution Vulnerability	مهم
Microsoft Office SharePoint	CVE-2021-27052	Microsoft SharePoint Server Information Disclosure Vulnerability	مهم
Microsoft Office SharePoint	CVE-2021-24104	Microsoft SharePoint Spoofing Vulnerability	مهم
Microsoft Office SharePoint	CVE-2021-27076	Microsoft SharePoint Server Remote Code Execution Vulnerability	مهم
Microsoft Office Visio	CVE-2021-27055	Microsoft Visio Security Feature Bypass Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-27050	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-27049	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-26884	Windows Media Photo Codec Information Disclosure Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-27051	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-27062	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-24110	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-24089	HEVC Video Extensions Remote Code Execution Vulnerability	حیاتی
Microsoft Windows Codecs Library	CVE-2021-27061	HEVC Video Extensions Remote Code Execution Vulnerability	حیاتی
Microsoft Windows Codecs Library	CVE-2021-27048	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-27047	HEVC Video Extensions Remote Code Execution Vulnerability	مهم
Microsoft Windows Codecs Library	CVE-2021-26902	HEVC Video Extensions Remote Code Execution Vulnerability	حیاتی
Power BI	CVE-2021-26859	Microsoft Power BI Information Disclosure Vulnerability	مهم
Role: DNS Server	CVE-2021-27063	Windows DNS Server Denial of Service Vulnerability	مهم
Role: DNS Server	CVE-2021-26893	Windows DNS Server Remote Code Execution Vulnerability	مهم
Role: DNS Server	CVE-2021-26897	Windows DNS Server Remote Code Execution Vulnerability	حیاتی
Role: DNS Server	CVE-2021-26894	Windows DNS Server Remote Code Execution Vulnerability	مهم
Role: DNS Server	CVE-2021-26895	Windows DNS Server Remote Code Execution Vulnerability	مهم
Role: DNS Server	CVE-2021-26896	Windows DNS Server Denial of Service Vulnerability	مهم
Role: DNS Server	CVE-2021-26877	Windows DNS Server Remote Code Execution Vulnerability	مهم
Role: Hyper-V	CVE-2021-26867	Windows Hyper-V Remote Code Execution Vulnerability	حیاتی
Role: Hyper-V	CVE-2021-26879	Windows NAT Denial of Service Vulnerability	مهم
Visual Studio	CVE-2021-27084	Visual Studio Code Java Extension Pack Remote Code Execution Vulnerability	مهم
Visual Studio	CVE-2021-21300	Git for Visual Studio Remote Code Execution Vulnerability	حیاتی
Visual Studio Code	CVE-2021-27060	Visual Studio Code Remote Code Execution Vulnerability	مهم
Visual Studio Code	CVE-2021-27081	Visual Studio Code ESLint Extension Remote Code Execution Vulnerability	مهم
Visual Studio Code	CVE-2021-27083	Remote Development Extension for Visual Studio Code Remote Code Execution Vulnerability	مهم
Visual Studio Code	CVE-2021-27082	Quantum Development Kit for Visual Studio Code Remote Code Execution Vulnerability	مهم
Windows Admin Center	CVE-2021-27066	Windows Admin Center Security Feature Bypass Vulnerability	مهم
Windows Container Execution Agent	CVE-2021-26891	Windows Container Execution Agent Elevation of Privilege Vulnerability	مهم
Windows Container Execution Agent	CVE-2021-26865	Windows Container Execution Agent Elevation of Privilege Vulnerability	مهم
Windows DirectX	CVE-2021-24095	DirectX Elevation of Privilege Vulnerability	مهم
Windows Error Reporting	CVE-2021-24090	Windows Error Reporting Elevation of Privilege Vulnerability	مهم
Windows Event Tracing	CVE-2021-24107	Windows Event Tracing Information Disclosure Vulnerability	مهم
Windows Event Tracing	CVE-2021-26872	Windows Event Tracing Elevation of Privilege Vulnerability	مهم
Windows Event Tracing	CVE-2021-26901	Windows Event Tracing Elevation of Privilege Vulnerability	مهم
Windows Event Tracing	CVE-2021-26898	Windows Event Tracing Elevation of Privilege Vulnerability	مهم
Windows Extensible Firmware Interface	CVE-2021-26892	Windows Extensible Firmware Interface Security Feature Bypass Vulnerability	مهم
Windows Folder Redirection	CVE-2021-26887	Microsoft Windows Folder Redirection Elevation of Privilege Vulnerability	مهم
Windows Installer	CVE-2021-26862	Windows Installer Elevation of Privilege Vulnerability	مهم
Windows Media	CVE-2021-26881	Microsoft Windows Media Foundation Remote Code Execution Vulnerability	مهم
Windows Overlay Filter	CVE-2021-26874	Windows Overlay Filter Elevation of Privilege Vulnerability	مهم
Windows Overlay Filter	CVE-2021-26860	Windows App-V Overlay Filter Elevation of Privilege Vulnerability	مهم
Windows Print Spooler Components	CVE-2021-1640	Windows Print Spooler Elevation of Privilege Vulnerability	مهم
Windows Print Spooler Components	CVE-2021-26878	Windows Print Spooler Elevation of Privilege Vulnerability	مهم
Windows Projected File System Filter Driver	CVE-2021-26870	Windows Projected File System Elevation of Privilege Vulnerability	مهم
Windows Registry	CVE-2021-26864	Windows Virtual Registry Provider Elevation of Privilege Vulnerability	مهم
Windows Remote Access API	CVE-2021-26882	Remote Access API Elevation of Privilege Vulnerability	مهم
Windows Storage Spaces Controller	CVE-2021-26880	Storage Spaces Controller Elevation of Privilege Vulnerability	مهم
Windows Update Assistant	CVE-2021-27070	Windows 10 Update Assistant Elevation of Privilege Vulnerability	مهم
Windows Update Stack	CVE-2021-1729	Windows Update Stack Setup Elevation of Privilege Vulnerability	مهم
Windows Update Stack	CVE-2021-26889	Windows Update Stack Elevation of Privilege Vulnerability	مهم
Windows Update Stack	CVE-2021-26866	Windows Update Service Elevation of Privilege Vulnerability	مهم
Windows UPnP Device Host	CVE-2021-26899	Windows UPnP Device Host Elevation of Privilege Vulnerability	مهم
Windows User Profile Service	CVE-2021-26873	Windows User Profile Service Elevation of Privilege Vulnerability	مهم
Windows User Profile Service	CVE-2021-26886	User Profile Service Denial of Service Vulnerability	مهم
Windows WalletService	CVE-2021-26871	Windows WalletService Elevation of Privilege Vulnerability	مهم
Windows WalletService	CVE-2021-26885	Windows WalletService Elevation of Privilege Vulnerability	مهم
Windows Win32K	CVE-2021-26900	Windows Win32k Elevation of Privilege Vulnerability	مهم