سهشنبه، 17 مرداد 1402، شرکت مایکروسافت (Microsoft)، مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی آگوست 2023 منتشر کرد. اصلاحیههای مذکور 76 آسیبپذیری را در Windows و محصولات مختلف این شرکت ترمیم میکنند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، مجموعهاصلاحیههای منتشرشده بهطور اجمالی مورد بررسی قرار گرفته است.
درجه اهمیت 6 مورد از آسیبپذیریهای ترمیمشده در آگوست 2023، «بحرانی» (Critical) اعلام شده که بدان معناست بدون نیاز به دخالت کاربر میتوانند مورد سوءاستفاده مهاجمان قرار بگیرند.
نکته قابل توجه این که، حداقل 2 مورد از آسیبپذیریهای وصلهشده، از نوع «روز-صفر» بوده و مهاجمان بهطور گسترده در حال سوءاستفاده از آنها هستند.
مجموعه اصلاحیههای آگوست، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (دور زدن سازوکارهای امنیتی)
- Spoofing (جعل)
مایکروسافت در مجموعهاصلاحیههای آگوست خود، آسیبپذیری روز-صفر CVE-2023-36884 را ترمیم کرده و یک بهروزرسانی به اصطلاح Defense in Depth هم برای آن ارائه نموده است. علیرغم آن که آسیبپذیری مذکور از قبل از انتشار مجموعهاصلاحیههای ماه قبل (ژوئیه) مورد سوءاستفاده مهاجمان قرار گرفته بود اما مایکروسافت در ماه قبل، تنها به ارائه راهکاری موقت برای آن اکتفا کرد.
CVE-2023-38180، یکی دیگر از آسیبپذیریهای ترمیمشده توسط مجموعهاصلاحیههای آگوست است که مورد سوءاستفاده مهاجمان قرار گرفته است. NET. و Visual Studio از CVE-2023-38180 متأثر میشوند.
در مجموعهاصلاحیههای آگوست، 6 ضعف امنیتی نیز در Microsoft Exchange Server برطرف شده است. یکی از این آسیبپذیریها، ضعفی با شناسه CVE-2023-21709 است که بر طبق استاندارد CVSSv3، شدت آن 9.8 از 10 گزارش شده است.
یادآوری میگردد با توجه به توقف عرضه اصلاحیههای امنیتی از سوی شرکت مایکروسافت برای سیستمهای عامل از رده خارجی همچون Windows 7 و ریسک بسیار بالای ادامه استفاده از آنها، ارتقاء یا تغییر این سیستمهای عامل توصیه اکید میشود.
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای آگوست 2023 مایکروسافت در گزارش زیر قابل مطالعه است:
تاریخ انتشار | تاریخ بهروزرسانی | شناسه CVE | عنوان CVE | افشای عمومی | سوءاستفاده توسط مهاجمان |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure Apache Hadoop Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Mobile Device Management Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 9 آگوست 2023 | Microsoft Exchange Server Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 9 آگوست 2023 | Microsoft Exchange Server Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 9 آگوست 2023 | Microsoft Exchange Server Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | .NET and Visual Studio Denial of Service Vulnerability | خیر | بله | |
8 آگوست 2023 | 8 آگوست 2023 | .NET Core and Visual Studio Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure Arc-Enabled Servers Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Windows Defender Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | HEVC Video Extensions Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft OLE DB Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Dynamics Business Central Elevation Of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Smart Card Resource Management Server Security Feature Bypass Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Hyper-V Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Cryptographic Services Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Cryptographic Services Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Wireless Wide Area Network Service (WwanSvc) Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows System Assessment Tool Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | ASP.NET Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Tablet Windows User Interface Application Core Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Visual Studio Tools for Office Runtime Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Excel Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Outlook Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft SharePoint Server Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Outlook Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft SharePoint Server Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft SharePoint Server Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft SharePoint Server Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Group Policy Security Feature Bypass Vulnerability | خیر | خیر | |
11 ژوئیه 2023 | 9 آگوست 2023 | Windows Search Remote Code Execution Vulnerability | بله | بله | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure Apache Ambari Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure Apache Oozie Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Reliability Analysis Metrics Calculation (RacTask) Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | .NET Framework Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure DevOps Server Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Office Visio Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Office Visio Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure HDInsight Jupyter Notebook Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Azure Apache Hive Spoofing Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | ASP.NET Core SignalR and Visual Studio Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | .NET and Visual Studio Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 9 آگوست 2023 | Microsoft Exchange Server Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Bluetooth A2DP driver Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows HTML Platforms Security Feature Bypass Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Information Disclosure Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Fax Service Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Reliability Analysis Metrics Calculation Engine (RACEng) Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Projected File System Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Message Queuing Denial of Service Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Office Visio Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Office Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | Aug 9, 2023 | Microsoft Exchange Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Windows Kernel Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Teams Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Teams Remote Code Execution Vulnerability | خیر | خیر | |
8 آگوست 2023 | Aug 9, 2023 | Microsoft Exchange Server Elevation of Privilege Vulnerability | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | AMD: CVE-2023-20569 Return Address Predictor | خیر | خیر | |
13 نوامبر 2018 | 8 آگوست 2023 | Latest Servicing Stack Updates | خیر | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Memory Integrity System Readiness Scan Tool Defense in Depth Update | بله | خیر | |
8 آگوست 2023 | 8 آگوست 2023 | Microsoft Office Defense in Depth Update | بله | بله | |
11 ژوییه 2023 | 8 آگوست 2023 | Guidance on Microsoft Signed Drivers Being Used Maliciously | خیر | بله | |
13 آگوست 2019 | 8 آگوست 2023 | Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing | بله | خیر |