نماد سایت اتاق خبر شبکه گستر

اصلاحیه‌های‌ امنیتی مایکروسافت برای دومین ماه میلادی سال 2022

سه‌شنبه 19 بهمن 1400، شرکت مایکروسافت (Microsoft Corp)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای دومین ماه میلادی 2022 منتشر کرد. اصلاحیه‌های مذکور بیش از 40 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت هیچ یک از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) نمی‌باشد و اکثر موارد “مهم” (Important) اعلام شده است.

 

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “حیاتی” تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه حساسیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه حساسیت “مهم” برطرف و ترمیم می‌گردند.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:

 

 

آسیب‌پذیری روز-صفر

تنها یک مورد از آسیب‌پذیری‌های ترمیم شده این ماه، از نوع “روز-صفر” (شناسه CVE-2022-21989) می‌باشد، اگر چه خوشبختانه موردی در خصوص بهره‌جویی از آن‌ گزارش نشده است.

 

مایکروسافت آن دسته از آسیب‌پذیری‌هایی را از نوع روز-صفر می‌داند که پیش‌تر اصلاحیه رسمی برای ترمیم آن‌ها ارائه نشده، جزییات آن‌ها به‌طور عمومی منتشر شده یا در مواقعی مورد سوءاستفاده مهاجمان قرار گرفته است.

 

تنها ضعف امنیتی “روز-صفر” ترمیم شده این ماه، دارای شناسه CVE-2022-21989 با درجه اهمیت “مهم” و از نوع “ترفیع اختیارات” است که Windows Kernel از آن متأثر می‌شود. آسیب‌پذیری مذکور دارای درجه شدت 7.8 از 10 (بر طبق استاندارد CVSS) می‌باشد ولی با این وجود درجه اهمیت “حیاتی” برای آن درنظر گرفته نشده است زیرا بنا بر اظهارات مایکروسافت، راه‌اندازی این ضعف امنیتی مستلزم انجام اقدامات اضافی جهت آماده‌سازی بستر مورد نظر قبل از سوءاستفاده توسط مهاجم است.

 

جزییات برخی آسیب‌پذیری‌های مهم

در میان ضعف‌های امنیتی ترمیم شده فوریه 2022، آسیب‌پذیری‌هایی با شناسه‌های CVE-2022-22718، CVE-2022-22717، CVE-2022-21999 و CVE-2022-21997 همگی از نوع “ترفیع اختیارات” در سرویس Windows Print Spooler هستند. در صورت طراحی و ساخت کد بهره‌جو (Exploit)، مهاجم می‌تواند از این آسیب‌پذیری‌ها برای اجرای کد به عنوان کاربر سیستم با سطح دسترسی و مجوز بالا سوءاستفاده کند.

برخی دیگر از آسیب‌پذیری‌های مهم ترمیم شده در ماه فوریه 2022 عبارتند از:

 

 

با توجه به این‌که نمونه اثبات‌گر برخی از ضعف‌های امنیتی این ماه منتشر شده، توصیه می‌شود کاربران در اسرع وقت نسبت به بروز‌رسانی وصله‌ها اقدام نمایند.

 

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه ‌اصلاحیه‌های فوریه 2022 مایکروسافت در جدول زیر قابل مطالعه است.

تاریخ انتشار

تاریخ آخرین به‌روز‌رسانی

CVE   شناسه

عنوان آسیب‌پذیری

افشای عمومی

احتمال سوءاستفاده

Feb 8, 2022

Feb 8, 2022

CVE-2022-23280

Microsoft Outlook for Mac Security Feature Bypass Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23276

SQL Server for Linux Containers Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23274

Microsoft Dynamics GP Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23273

Microsoft Dynamics GP Elevation Of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23272

Microsoft Dynamics GP Elevation Of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23271

Microsoft Dynamics GP Elevation Of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23269

Microsoft Dynamics GP Spoofing Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23256

Azure Data Explorer Spoofing Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23255

Microsoft OneDrive for Android Security Feature Bypass Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23254

Microsoft Power BI Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-23252

Microsoft Office Information Disclosure Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22718

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-22717

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22716

Microsoft Excel Information Disclosure Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22715

Named Pipe File System Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-22712

Windows Hyper-V Denial of Service Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22710

Windows Common Log File System Driver Denial of Service Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22709

VP9 Video Extensions Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22005

Microsoft SharePoint Server Remote Code Execution Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-22004

Microsoft Office ClickToRun Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22003

Microsoft Office Graphics Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22002

Windows User Account Profile Picture Denial of Service Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22001

Windows Remote Access Connection Manager Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-22000

Windows Common Log File System Driver Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21999

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21998

Windows Common Log File System Driver Information Disclosure Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21997

Windows Print Spooler Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21996

Win32k Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21995

Windows Hyper-V Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21994

Windows DWM Core Library Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21993

Windows Services for NFS ONCRPC XDR Driver Information Disclosure Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21992

Windows Mobile Device Management Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21991

Visual Studio Code Remote Development Extension Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21989

Windows Kernel Elevation of Privilege Vulnerability

بله

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21988

Microsoft Office Visio Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21987

Microsoft SharePoint Server Spoofing Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21986

.NET Denial of Service Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21985

Windows Remote Access Connection Manager Information Disclosure Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21984

Windows DNS Server Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21981

Windows Common Log File System Driver Elevation of Privilege Vulnerability

خیر

زیاد

Feb 8, 2022

Feb 8, 2022

CVE-2022-21974

Roaming Security Rights Management Services Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21971

Windows Runtime Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21968

Microsoft SharePoint Server Security Feature BypassVulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21965

Microsoft Teams Denial of Service Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21957

Microsoft Dynamics 365 (on-premises) Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21927

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21926

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

کم

Jan 11, 2022

Feb 8, 2022

CVE-2022-21871

Microsoft Diagnostics Hub Standard Collector Runtime Elevation of Privilege Vulnerability

خیر

کم

Feb 8, 2022

Feb 8, 2022

CVE-2022-21844

HEVC Video Extensions Remote Code Execution Vulnerability

خیر

کم

Jul 13, 2021

Feb 8, 2022

CVE-2021-34500

Windows Kernel Memory Information Disclosure Vulnerability

خیر

کم

Jul 9, 2019

Feb 8, 2022

CVE-2019-0887

Remote Desktop Services Remote Code Execution Vulnerability

خیر

زیاد

Nov 13, 2018

Feb 8, 2022

ADV990001

Latest Servicing Stack Updates

خیر

 

 

منابع:

 

خروج از نسخه موبایل