سهشنبه 23 خرداد 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژوئن 2023 منتشر کرد. اصلاحیههای مذکور حدود 80 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند. درجه اهمیت 6 مورد از آسیبپذیریهای ترمیم شده این ماه «بحرانی» (Critical) و اکثر موارد دیگر «زیاد» (Important) اعلام شده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، مجموعهاصلاحیههای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
این مجموعه اصلاحیهها، انواع مختلفی از آسیبپذیریها را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
اگر چه هیچ یک از آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیه این ماه، «روز-صفر» گزارش نشده اما حدود نیمی از آنها از نوع RCE هستند.
از آسیبپذیریهای قابل توجه این ماه میتوان به موارد زیر اشاره کرد.
- CVE-2023-29357 که ضعفی از نوع Elevation of Privilege در Microsoft SharePoint Server است که سوءاستفاده از آن مهاجمان با دسترسی شبکهای به سرور را بهنحوی قادر به سرقت اطلاعات اصالتسنجی کاربران با دسترسی مجاز به سرور میکند.
- CVE-2023-29363 و CVE-2023-32014/32015 که سه آسیبپذیری از نوع RCE هستند. Windows Pragmatic General Multicast – به اختصار PGM – از آسیبپذیریهای مذکور، متأثر میشوند. در صورت استفاده از سرویس Windows Message Queuing در شبکه سازمان، سوءاستفاده از این آسیبپذیریها میتوانند مهاجم را قادر به اجرای کد مورد بالقوه مخرب بر روی دستگاهها کند.
- CVE-2023-33146 که ضعفی از نوع RCE در نرمافزار Microsoft Office است و به نظر میرسد با فراخوانی فایلهای SketchUp دستکاریشده میتواند مورد سوءاستفاده قرار بگیرد.
یادآوری میگردد با توجه به توقف عرضه اصلاحیههای امنیتی از سوی شرکت مایکروسافت برای سیستمهای عامل از رده خارجی همچون Windows 7 و ریسک بسیار بالای ادامه استفاده از آنها، ارتقاء یا تغییر این سیستمهای عامل توصیه اکید میشود.
فهرست کامل آسیبپذیریهای ترمیمشده / بهروزشده توسط مجموعهاصلاحیههای ماه میلادی ژوئن 2023 مایکروسافت در جدول زیر قابل مطالعه است:
تاریخ انتشار | آخرین بهروزرسانی | شناسه آسیبپذیری | شرح آسیبپذیری | افشای عمومی | سوءاستفاده توسط مهاجمان |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Office Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Edge (Chromium-based) Information Disclosure Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Visual Studio Code Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft SharePoint Server Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 14, 2023 | Yet Another Reverse Proxy (YARP) Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft OneNote Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Visual Studio Information Disclosure Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Excel Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET and Visual Studio Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Excel Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft SharePoint Server Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Outlook Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft SharePoint Server Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft SharePoint Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET and Visual Studio Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET and Visual Studio Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET and Visual Studio Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Exchange Server Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET and Visual Studio Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Excel Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Power Apps Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Server Service Security Feature Bypass Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows SMB Witness Service Security Feature Bypass Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows DNS Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Kernel Information Disclosure Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Hello Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft PostScript Printer Driver Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Installer Information Disclosure Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Hyper-V Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Container Manager Service Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows iSCSI Discovery Service Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Bus Filter Driver Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Collaborative Translation Framework Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Resilient File System (ReFS) Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft ODBC Driver Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows GDI Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Media Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Remote Procedure Call Runtime Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Filtering Platform Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | iSCSI Target WMI Provider Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Geolocation Service Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Media Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Authentication Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Remote Desktop Client Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows TPM Device Driver Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GDI Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows GDI Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft SharePoint Server Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | DHCP Server Service Information Disclosure Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Sysinternals Process Monitor for Windows Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Remote Desktop Security Feature Bypass Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows Group Policy Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | NTFS Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | NuGet Client Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET, .NET Framework, and Visual Studio Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET Framework Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GitHub: CVE-2023-29012 Git CMD erroneously executes `doskey.exe` in current directory, if it exists | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GitHub: CVE-2023-29011 The config file of `connect.exe` is susceptible to malicious placing | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GitHub: CVE-2023-29007 Arbitrary configuration injection via `git submodule deinit` | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Microsoft Exchange Server Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | AutoDesk: CVE-2023-27911 Heap buffer overflow vulnerability in Autodesk FBX SDK 2020 or prior | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | AutoDesk: CVE-2023-27910 stack buffer overflow vulnerability in Autodesk FBX SDK 2020 or prior | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | AutoDesk: CVE-2023-27909 Out-Of-Bounds Write Vulnerability in Autodesk FBX SDK 2020 or prior | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GitHub: CVE-2023-25815 Git looks for localized messages in an unprivileged place | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | GitHub: CVE-2023-25652 “git apply –reject” partially-controlled arbitrary file write | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows CryptoAPI Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Windows CryptoAPI Denial of Service Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET, .NET Framework, and Visual Studio Elevation of Privilege Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Dynamics 365 Finance Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | .NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability | خیر | خیر | |
Mar 14, 2023 | Jun 13, 2023 | Windows SmartScreen Security Feature Bypass Vulnerability | Yes | Yes | |
Mar 14, 2023 | Jun 13, 2023 | Microsoft Excel Spoofing Vulnerability | خیر | خیر | |
Mar 14, 2023 | Jun 13, 2023 | Microsoft Excel Denial of Service Vulnerability | خیر | خیر | |
Mar 14, 2023 | Jun 13, 2023 | Service Fabric Explorer Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Azure DevOps Server Spoofing Vulnerability | خیر | خیر | |
Jun 13, 2023 | Jun 13, 2023 | Azure DevOps Server Spoofing Vulnerability | خیر | خیر | |
Nov 8, 2022 | Jun 13, 2023 | Netlogon RPC Elevation of Privilege Vulnerability | خیر | خیر | |
Nov 8, 2022 | Jun 13, 2023 | Windows Kerberos Elevation of Privilege Vulnerability | خیر | خیر | |
Jul 1, 2021 | Jun 13, 2023 | Windows Print Spooler Remote Code Execution Vulnerability | بله | بله | |
Nov 13, 2018 | Jun 13, 2023 | Latest Servicing Stack Updates | خیر | خیر |