نماد سایت اتاق خبر شبکه گستر

اصلاحیه‌های امنیتی شهریور 1404

روابط عمومی

در شهریور 1404، مایکروسافت، سیسکو، سوفوس، بیت‌دیفندر، سیتریکس، گوگل، موزیلا و اس‌ای‌پی اقدام به عرضه به‌روزرسانی برای ترمیم آسیب‌پذیری‌های امنیتی در برخی محصولات خود کردند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این به‌روزرسانی‌های منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.

 

مایکروسافت سیسکو سوفوس بیت‌دیفندر
سیتریکس گوگل موزیلا اس‌ای‌پی

 

مـایـکـروسـافـت

19 شهریور، شرکت مایکروسافت (Microsoft)، مجموعه‌‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر 2025 منتشر کرد. اصلاحیه‌های مذکور، 81 آسیب‌پذیری را که دو مورد آنها، روز-صفر گزارش شده در محصولات مختلف این شرکت ترمیم می‌کنند.

مجموعه‌اصلاحیه‌های ماه سپتامبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

Elevation of Privilege و RCE، به ترتیب با 41 و 22 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌اند.

9 مورد از آسیب‌پذیری‌های وصله‌شده، “بحرانی” (Critical) گزارش شده‌اند. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده می‌شوند.

همان‌طور که اشاره شد 2 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع “روز-صفر” (Zero-day) اعلام شده‌اند. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.

آسیب‌پذیری‌های روز-صفر این ماه که جزییات هر دوی آن‌ها از پیش از انتشار وصله افشا شده عبارتند از:

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده / به‌روزشده توسط مجموعه‌اصلاحیه‌های سپتامبر 2025 مایکروسافت در لینک زیر قابل مطالعه است:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2249

 

سـیـسـکـو

شرکت سیسکو (Cisco Systems)، در شهریور ماه، 27 آسیب‌پذیری را در محصولات مختلف خود ترمیم یا جزییات توصیه‌نامه آنها را به‌روزرسانی کرد. شدت 6 مورد از این آسیب‌پذیری‌ها، “بالا” (High)  گزارش شده است. اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل دسترس می‌باشد:

https://tools.cisco.com/security/center/publicationListing.x

 

سـوفـوس

در ششمین ماه 1404، شرکت سوفوس (Sophos)، یک آسیب‌پذیری امنیتی مهم با شناسه CVE-2025-10159 را در تجهیزات Access Point بی‌سیم سری AP6 خود شناسایی و رفع کرد. این آسیب‌پذیری به هکرها اجازه می‌داد در صورتی که به نشانی IP دستگاه دسترسی پیدا کنند، کنترل کامل و سطح مدیر را به دست آورند. جزییات بیشتر در لینک زیر قابل‌مطالعه است:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20250909-ap6

 

بـیـت‌دیـفـنـدر

در شهریور ماه، شرکت بیت‌دیفندر (Bitdefender)، اقدام به انتشار 6.43.1-2 سامانه GravityZone نمود. بر اساس یادداشت‌های انتشار شرکت بیت‌دیفندر که در لینک زیر قابل‌مطالعه می‌باشد ترمیم باگ‌های امنیتی از جمله موارد اعمال‌شده در نسخه مذکور است.

https://www.bitdefender.com/business/support/en/77212-78207-gravityzone-control-center.html

 

سـیـتـریـکـس

در ماهی که گذشت شرکت سیتریکس (Citrix)، چندین آسیب‌پذیری بحرانی و مهم را در محصولات خود، به شرح زیر اعلام کرد:

اطلاعات بیشتر در لینک‌های زیر:

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694820

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

 

گـوگـل

شرکت گوگل (Google)، در شهریور ماه، در 4 نوبت، نسخه جدید برای مرورگر Chrome منتشر کرد. این نسخه‌های جدید، در مجموع، 13 آسیب‌پذیری را که شدت 2 مورد از آنها “حیاتی” گزارش شده در این مرورگر برطرف کرده‌اند.

یکی از آسیب‌پذیری‌های مذکور، با شناسه CVE-2025-10585 روز-صفر بوده و از قبل از انتشار اصلاحیه، مورد سوءاستفاده مهاجمان قرار گرفته است. این آسیب‌پذیری، ششمین حفره روز صفر مرورگر Chrome در سال جاری میلادی است.

توصیه‌نامه‌های گوگل در لینک زیر قابل‌دسترس است:

https://chromereleases.googleblog.com

 

مـوزیـلا

در شهریور، شرکت موزیلا (Mozilla)، چندین ضعف امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگ‌های امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

 

اس‌‌ای‌پـی

شرکت اس‌ای‌پی (SAP) هم در شهریور ماه، 21 توصیه‌نامه امنیتی در خصوص محصولات مختلف خود که اولویت 6 مورد از آنها “حیاتی” و تعدادی نیز “بالا” اعلام شده منتشر کرد. جزییات آسیب‌پذیری‌های بررسی‌شده در توصیه‌نامه‌های مذکور در لینک زیر قابل دریافت است:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/september-2025.html

 

 

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در شهریور 1404، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به “فهرست آسیب‌پذیری‌های در حال سوءاستفاده” یا همان
Known Exploited Vulnerabilities Catalog اضافه کرد:

 

CVE-2025-5086   Dassault DELMIA Apriso Deserialization of Untrusted Data Vulnerability

CVE-2025-38352                 Linux Kernel Time-of-Check Time-of-Use (TOCTOU) Race Condition Vulnerability

CVE-2025-48543                 Android Runtime Use-After-Free Vulnerability

CVE-2025-53690                 Sitecore Multiple Products Deserialization of Untrusted Data Vulnerability

CVE-2023-50224                 TP-Link TL-WR841N Authentication Bypass by Spoofing Vulnerability

CVE-2025-9377   TP-Link Archer C7(EU) and TL-WR841N/ND(MS) OS Command Injection Vulnerability

CVE-2020-24363                 TP-link TL-WA855RE Missing Authentication for Critical Function Vulnerability

CVE-2025-55177                 Meta Platforms WhatsApp Incorrect Authorization Vulnerability

CVE-2025-57819                 Sangoma FreePBX Authentication Bypass Vulnerability

CVE-2025-7775   Citrix NetScaler Memory Overflow Vulnerability

CVE-2025-48384                 Git Link Following Vulnerability

CVE-2024-8068   Citrix Session Recording Improper Privilege Management Vulnerability

CVE-2024-8069   Citrix Session Recording Deserialization of Untrusted Data Vulnerability

 

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

خروج از نسخه موبایل