بهروزرسانیها و اصلاحیههای منتشر شده در اولین ماه 1400
در فروردین 1400، شرکتهای مایکروسافت، سیسکو، مکآفی، ویاِموِر، سیتریکس، اوراکل، بیتدیفندر، ادوبی، اسآپ، جونیپر نتورکز، گوگل، اپل و موزیلا، گروه سامبا و بنیادهای نرمافزاری اوپناساسال و وردپرس اقدام به انتشار اصلاحیه و توصیهنامه امنیتی برای برخی از محصولات خود کردند که در ادامه این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به آنها پرداخته شده است.
مـایـکـروسـافـت
24 فروردین، شرکت مایکروسافت (Microsoft Corp)، مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی آوریل منتشر کرد. اصلاحیههای مذکور در مجموع 108 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
درجه اهمیت 19 مورد از این آسیبپذیریها “حیاتی” (Critical) و 89 مورد “مهم” (Important) اعلام شده است.
بیش از نیمی از آسیبپذیریهای ترمیم شده توسط مجموعه اصلاحیههای ماه آوریل از نوع Remote Code Execution گزارش شدهاند.
در این بین، 5 آسیبپذیری زیر روز-صفر (Zero-day) بوده و جزییات آنها قبلاً افشا شده بود:
- CVE-2021-27091 که ضعفی از نوع Elevation of Privilege در RPC Endpoint Mapper Service است.
- CVE-2021-28312 که ضعفی از نوع Denial of Service در Windows NTFS است.
- CVE-2021-28437 که ضعفی از نوع Information Disclosure در Windows Installer است.
- CVE-2021-28458 که ضعفی از نوع Elevation of Privilege در Azure ms-rest-nodeauth Library است.
- CVE-2021-28310 که ضعفی از نوع Elevation of Privilege در Win32k است. پیشتر شرکت کسپرسکی (Kaspersky Lab) گزارش کرده بود که مهاجمان در حال سوءاستفاده از از این آسیبپذیری، احتمالاً بهمنظور فرار از سد سندباکس یا ارتقای سطح دسترسی خود هستند. با این حال کسپرسکی اعلام کرده که قادر به کشف کل زنجیره حمله نبوده و بنابراین از آسیبپذیریهای دیگر بکار رفته در جریان این حملات اطلاعی در دست نیست.
مایکروسافت چهار آسیبپذیری “حیاتی” زیر را نیز که همگی از نوع Remote Code Execution هستند در سرویسدهنده Exchange ترمیم کرده است:
سوءاستفاده از دو مورد از آنها بدون نیاز به اصالتسنجی ممکن است. موردی از بکارگیری این چهار ضعف امنیتی تا کنون، حداقل بهصورت عمومی گزارش نشده است. جزییات بیشتر در خصوص آنها در لینک زیر قابل دریافت و مطالعه است:
در اسفند 1399 نیز شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری بحرانی روز-صفر را در نسخ مختلف Exchange ترمیم کرده بود.
از دیگر آسیبپذیری حائز اهمیتی که 24 فروردین ترمیم شدند میتوان به موارد زیر اشاره کرد:
- CVE-2021-27095 و CVE-2021-28315 که ضعفهایی در Media Video Decoder هستند و امکان اجرای کد بهصورت از راه دور را بدون نیاز به سطح دسترسی بالا فراهم میکنند.
- CVE-2021-28445 که ضعفی در Windows Network File System است و مهاجم را بدون نیاز به دخالت کاربر قادر به اجرای کد بهصورت از راه دور میکند.
جزییات بیشتر در خصوص مجموعهاصلاحیههای ماه آوریل مایکروسافت را در گزارش زیر که با همکاری مرکز مدیریت راهبردی افتای ریاست جمهوری و شرکت مهندسی شبکه گستر تهیه شده بخوانید:
https://afta.gov.ir/portal/home/?news/235046/237266/243368/
سـیـسـکـو
شرکت سیسکو (Cisco Systems Inc) در فروردین ماه در چندین نوبت اقدام به عرضه اصلاحیههای امنیتی برای برخی از محصولات خود کرد. این بهروزرسانیها بیش از 70 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 9 مورد از آنها “حیاتی” و 27 مورد “بالا” (High) گزارش شده است. آسیبپذیری به حملاتی همچون “اجرای کد بهصورت از راه دور”، “تزریق فرمان” (Command Injection)، “نشت اطلاعات” (Information Disclosure) و “از کاراندازی سرویس” (Denial of Service) از جمله اشکالات مرتفع شده توسط بهروزرسانیهای جدید هستند. توضیحات کامل در مورد بهروزرسانیهای عرضه شده در لینک زیر قابل دسترس است:
https://tools.cisco.com/security/center/publicationListing.x
مـکآفـی
5 فروردین، شرکت مکآفی (McAfee, LLC)، با انتشار 5.10.0 Update 10 دو آسیبپذیری به شناسههای CVE-2021-23888 و CVE-2021-23890 با شدت “متوسط” و یک ضعف امنیتی به شناسه CVE-2021-23889 با شدت “کم” را در محصول McAfee ePolicy Orchestrator ترمیم کرد که جزییات آن در لینک زیر قابل دریافت است:
https://kc.mcafee.com/corporate/index?page=content&id=SB10352
همچنین این شرکت در 25 فروردین با انتشار اصلاحیه 11.6.100.41 یک آسیبپذیری به شناسه CVE-2021-23887 با شدت حساسیت “بالا” و یک ضعف امنیتی به شناسه CVE-2021-23886 با شدت حساسیت “متوسط” را در نسخ پیشین McAfee DLP Endpoint برطرف کرد. مک آفی در 3 فروردین نیز نسخه 11.6.100 نرمافزار McAfee DLP Endpoint را منتشر کرده بود. توضیحات بیشتر در خصوص نسخ جدید این نرمافزار در لینکهای زیر قابل دریافت است:
https://kc.mcafee.com/corporate/index?page=content&id=SNS2943
https://kc.mcafee.com/corporate/index?page=content&id=SB10357
ویاِموِر
در فروردین شرکت ویاِموِر (VMware, Inc) با انتشار بهروزرسانی، چند آسیبپذیری با شدت “حیاتی” و یک ضعف امنیتی با درجه اهمیت “مهم” را در محصولات زیر ترمیم کرد:
- VMware vRealize Operations
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
- VMware Carbon Black Cloud Workload Appliance
- VMware NSX-T
جزییات بیشتر در توصیهنامههای زیر قابل مطالعه است:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
https://www.vmware.com/security/advisories/VMSA-2021-0005.html
https://www.vmware.com/security/advisories/VMSA-2021-0006.html
سـیـتـریـکس
سیتریکس (Citrix Systems, Inc) در فروردین ماه اقدام به انتشار اصلاحیه برای ترمیم سه آسیبپذیری امنیتی برای Citrix Hypervisor (یا XenServer سابق) کرد که جزییات آن در لینک زیر قابل مطالعه است:
https://support.citrix.com/article/CTX306565
سوءاستفاده از آسیبپذیریهای مذکور موجب از کار افتادن سامانه (Denial of Service) خواهد شد.
اوراکـل
در آخرین روز از فرودین 1400، شرکت اوراکل (Oracle Corp) مطابق با برنامه زمانبندی شده سهماهه خود، با انتشار مجموعهبهروزرسانیهای موسوم به Critical Patch Update اقدام به ترمیم 384 آسیبپذیری امنیتی در دهها محصول ساخت این شرکت کرد. سوءاستفاده از برخی از آسیبپذیریهای مذکور مهاجم را قادر به اجرای کد بهصورت از راه دور بدون نیاز به هر گونه اصالتسنجی میکند. جزییات کامل در خصوص آنها در لینک زیر قابل دریافت است:
بـیـتدیـفـنـدر
در اولین ماه سال 1400 شرکت بیتدیفندر (Bitdefener, Inc) اقدام به انتشار نسخ 6.23.1-1، 6.6.26.376، 6-2-21-141 و 4-17-16-200166 بهترتیب برای محصولات Bitdefender GravityZone، Endpoint Security Tools for Windows، Bitdefender Endpoint Security for Linux و Endpoint Security for Mac و افزودن قابلیتهای جدید در آنها کرد. جزییات بیشتر را در لینکهای زیر بخوانید:
https://www.bitdefender.com/support/gravityzone-6-23-1-1-release-notes-2690.html
https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-6-26-376-release-notes-(windows)-2689.html
https://www.bitdefender.com/support/bitdefender-endpoint-security-tools-version-6-2-21-141-release-notes-(linux)-2687.html
https://www.bitdefender.com/support/endpoint-security-for-mac-version-4-17-16-200166-release-notes-2684.html
ادوبـی
در فروردین، شرکت ادوبی (Adobe, Inc) اقدام به انتشار بهروزرسانی برای محصولات زیر کرد:
ColdFusion: https://helpx.adobe.com/security/products/coldfusion/apsb21-16.html
RoboHelp: https://helpx.adobe.com/security/products/robohelp/apsb21-20.html
Bridge: https://helpx.adobe.com/security/products/bridge/apsb21-23.html
Digital Editions: https://helpx.adobe.com/security/products/Digital-Editions/apsb21-26.html
Photoshop: https://helpx.adobe.com/security/products/photoshop/apsb21-28.html
اسآپ
اسآپ (SAP SE) نیز در فروردین 1400 با انتشار مجموعهاصلاحیههای ماه آوریل، آسیبپذیریهایی را در چندین محصول خود برطرف کرد. بهرهجویی از بعضی از این آسیبپذیریهای ترمیم شده مهاجم را قادر به در اختیار گرفتن کنترل سیستم میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=573801649
جونیپر نتورکز
جونیپر نتورکز (Juniper Networks, Inc) هم در فروردین با ارائه بهروزرسانی چندین ضعف امنیتی را محصولات مختلف این شرکت ترمیم کرد. سوءاستفاده از ضعفهای مذکور مهاجم را قادر به در اختیار گرفتن کنترل دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES
گـوگـل
در فرودین ماه شرکت گوگل (Google, LLC) در چندین نوبت با عرضه بهروزرسانی اقدام به ترمیم آسیبپذیریهای امنیتی مرورگر Chrome کرد. آخرین نسخه این مرورگر که در 25 فروردین انتشار یافت 90.0.4430.72 است. فهرست اشکالات مرتفع شده در لینکهای زیر قابل دریافت و مشاهده است:
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html
اپـل
در فروردین ماه، شرکت اپل (Apple, Inc) با انتشار بهروزرسانی، ضعفهایی امنیتی را در چندین محصول خود از جمله سیستم عامل macOS ترمیم و اصلاح کرد. سوءاستفاده از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سامانه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
https://support.apple.com/en-us/HT201222
مـوزیـلا
در ماهی که گذشت شرکت موزیلا (Mozilla, Corp) با ارائه بهروزرسانی، چند آسیبپذیری امنیتی را در مرورگر Firefox و نرمافزار Thunderbird برطرف کرد. درجه حساسیت برخی از این آسیبپذیریهای ترمیم شده، “بالا” گزارش شده است. توضیحات بیشتر در لینکهای زیر قابل مطالعه است:
https://www.mozilla.org/en-US/security/advisories/mfsa2021-10/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-12/
سـامـبـا
گروه سامبا (Samba Team) با عرضه بهروزرسانی، دو ضعف امنیتی با شناسههای CVE-2020-27840 و CVE-2021-20277 را در نرمافزار کدباز Samba برطرف کرد. سوءاستفاده از یکی از این ضعفهای ترمیم شده در اختیار گرفتن کنترل سیستم آسیبپذیر را برای مهاجم فراهم میکند.
اوپـناساسال
6 فروردین، بنیاد نرمافزاری اوپناساسال (OpenSSL Software Foundation) اقدام به انتشار توصیهنامهای با درجه اهمیت “بالا” در خصوص یک آسیبپذیری با شناسه CVE-2021-3450 کرد. بهرهجویی از آسیبپذیری مذکور که نسخه 1.1.1h و نسخ بعد از آن از آن تأثیر میپذیرند موجب بیاثر شدن فرایند بررسی اصالت (CA certificate check) میشود. توصیهنامه اوپناساسال در لینک زیر قابل مطالعه است:
https://www.openssl.org/news/secadv/20210325.txt
وردپـرس
26 فروردین، بنیاد وردپرس نسخه 5.7.1 سامانه مدیریت محتوای WordPress را عرضه کرد. در نسخه مذکور ضعفهایی ترمیم شده که سوءاستفاده از برخی آنها به مهاجم امکان میدهد تا کنترل سایت تحت مدیریت این سامانه را به دست بگیرد. اطلاعات بیشتر در این مورد در لینک زیر قابل مطالعه است:
https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
