اصلاحیههای امنیتی بهمن 1404
در بهمن 1404، مایکروسافت، سیسکو، فورتینت، گوگل، موزیلا، اسایپی و میکروولد تکنولوژیز اقدام به عرضه بهروزرسانی برای ترمیم آسیبپذیریهای امنیتی در برخی محصولات خود کردند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده به طور اجمالی مورد بررسی قرار گرفته است.
| مایکروسافت | سیسکو | فورتینت | گوگل |
| موزیلا | اسایپی | میکروولد تکنولوژیز |
مـایـکـروسـافـت
21 بهمن، شرکت مایکروسافت (Microsoft)، مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی فوریه 2026 منتشر کرد. اصلاحیههای مذکور، 58 آسیبپذیری را در محصولات مختلف این شرکت ترمیم میکنند.
6 مورد از آسیبپذیریهای وصلهشده از نوع روز-صفر (Zero-day) هستند و از مدتی پیش موردسوءاستفاده مهاجمان قرار گرفتهاند.
مجموعهاصلاحیههای ماه فوریه، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (عبور از سد سازوکارهای امنیتی)
- Spoofing (جعل)
Elevation of Privilege و RCE، به ترتیب با 25 و 12 مورد، بیشترین سهم از انواع آسیبپذیریهای این ماه را به خود اختصاص دادهاند.
در قالب این بهروزرسانیها، مایکروسافت همچنین شروع به عرضه گواهیهای بهروزشده Secure Boot کرده است تا جایگزین گواهیهای اصلی سال ۲۰۱۱ شوند که در اواخر ژوئن ۲۰۲۶ منقضی خواهند شد.
همانطور که اشاره شد 6 آسیبپذیری ترمیمشده از نوع روز-صفر است. مایکروسافت ضعفی را روز-صفر تلقی میکند که پیش از انتشار وصله رسمی، بهصورت عمومی فاش یا فعالانه مورد سوءاستفاده قرار گرفته باشد.
شش آسیبپذیری روز-صفر این ماه که همگی بهطور فعال مورد سوءاستفاده قرار گرفتهاند عبارتند از:
CVE-2026-21510 – که یک آسیبپذیری دور زدن ویژگیهای امنیتی است و Windows Shell از آن متأثر میشود. این نقص میتواند با باز کردن یک لینک یا فایل میانبرِ ویژهسازیشده فعال شود. مایکروسافت توضیح میدهد برای بهرهبرداری موفق از این آسیبپذیری، مهاجم باید کاربر را متقاعد کند که یک لینک یا فایل میانبر مخرب را باز کند. مهاجم میتواند با سوءاستفاده از مدیریت نادرست در اجزای Windows Shell، اعلانهای امنیتی Windows SmartScreen و Windows Shell را دور بزند و به محتوای مخرب اجازه دهد بدون هشدار یا رضایت کاربر اجرا شود. اگرچه مایکروسافت جزئیات بیشتری منتشر نکرده، اما بهاحتمال زیاد این نقص امکان دور زدن هشدارهای امنیتی Mark of the Web – MoTW را فراهم میکند.
CVE-2026-21513 – که یک آسیبپذیری دور زدن ویژگیهای امنیتی است و چارچوب MSHTML از آن تأثیر میپذیرد. به گفته مایکروسافت خرابی سازوکار حفاظتی در چارچوب MSHTML به یک مهاجم غیرمجاز اجازه میدهد از طریق شبکه یک ویژگی امنیتی را دور بزند. هیچ جزئیاتی درباره نحوه سوءاستفاده از این نقص منتشر نشده است.
CVE-2026-21514 – که یک آسیبپذیری دور زدن ویژگیهای امنیتی است و Microsoft Word از آن متأثر میشود. در هشدار مایکروسافت آمده است مهاجم باید یک فایل Office مخرب برای کاربر ارسال کند و او را متقاعد نماید که آن را باز کند. بهروزرسانی این ماه آسیبی را برطرف میکند که سازوکارهای کاهش خطر OLE در Microsoft 365 و Microsoft Office را دور میزند؛ سازوکارهایی که از کاربران در برابر کنترلهای آسیبپذیر COM/OLE محافظت میکنند. مایکروسافت اعلام کرده است که این نقص از طریق بخش Preview Pane در Office قابل سوءاستفاده نیست.
CVE-2026-21519 – که یک آسیبپذیری ارتقای سطح دسترسی در Desktop Window Manager است. مایکروسافت هشدار میدهد مهاجمی که با موفقیت از این آسیبپذیری سوءاستفاده کند، میتواند به سطح دسترسی SYSTEM دست یابد.
CVE-2026-21525 – که یک آسیبپذیری منع سرویس در Windows Remote Access Connection Manager است. مایکروسافت توضیح میدهد ارجاع به اشارهگر تهی (Null Pointer Dereference) در Windows Remote Access Connection Manager به یک مهاجم غیرمجاز اجازه میدهد بهصورت محلی سرویس را از کار بیندازد.
CVE-2026-21533 – که یک آسیبپذیری ارتقای سطح دسترسی در Windows Remote Desktop Services است. مایکروسافت توضیح میدهد مدیریت نادرست سطح دسترسی در Windows Remote Desktop به یک مهاجم مجاز اجازه میدهد بهصورت محلی سطح دسترسی خود را ارتقا دهد.
از میان این شش آسیبپذیری روز-صفر، جزییات CVE-2026-21513،CVE-2026-21510 و CVE-2026-21514 بهصورت عمومی افشا شده بودند.
فهرست کامل آسیبپذیریهای ترمیمشده / بهروزشده توسط مجموعهاصلاحیههای فوریه 2026 مایکروسافت در لینک زیر قابلمطالعه است:
https://msrc.microsoft.com/update-guide/vulnerability
سـیـسـکـو
شرکت سیسکو (Cisco Systems)، در بهمن ماه، 14 آسیبپذیری را در محصولات مختلف خود ترمیم یا جزییات توصیهنامه آنها را بهروزرسانی کرد. شدت یکی از آسیبپذیری مذکور “بحرانی” و شدت دو مورد از آنها “بالا” گزارش شده است. اطلاعات بیشتر در خصوص بهروزرسانیها و اصلاحیههای سیسکو در نشانی زیر قابلدسترس میباشد:
https://tools.cisco.com/security/center/publicationListing.x
فـورتـینـت
در بهمن، شرکت فورتینت (Fortinet)، اقدام به ترمیم 7 آسیبپذیری امنیتی در محصولات خود کرد. شدت یکی از این آسیبپذیریها با شناسه CVE-2026-24858، “حیاتی” و یک آسیبپذیری با شناسه CVE-2026-22153، “بالا” گزارش شده است. جزییات بیشتر در لینک زیر:
https://fortiguard.fortinet.com/psirt
گـوگـل
شرکت گوگل (Google)، در بهمن ماه، در 6 نوبت، نسخه جدید برای مرورگر Chrome منتشر کرد. این نسخههای جدید، در مجموع، 18 آسیبپذیری را در این مرورگر برطرف کردهاند. طبق اعلام گوگل، یکی از این نقصهای امنیتی با شناسه CVE-2026-2441 در دنیای واقعی (In the Wild) نیز مورد بهرهبرداری قرار گرفته است.
توصیهنامههای گوگل در لینک زیر قابلدسترس است:
https://chromereleases.googleblog.com
مـوزیـلا
در بهمن، شرکت موزیلا (Mozilla)، چندین ضعف امنیتی را در مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird برطرف کرد. شدت بسیاری از این باگهای امنیتی، “بالا” گزارش شده است. اطلاعات بیشتر در لینک زیر:
https://www.mozilla.org/en-US/security/advisories/
اسایپـی
شرکت اسایپی (SAP) هم در بهمن ماه، 26 توصیهنامه امنیتی در خصوص محصولات مختلف خود منتشر کرد. اولویت 2 مورد از آنها “بحرانی” و 7 مورد نیز “بالا” اعلام شده است. جزییات آسیبپذیریهای بررسیشده در توصیهنامههای مذکور در لینک زیر قابل دریافت است:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/february-2026.html
مـیـکـروولـد تـکنـولـوژیـز
در ماهی که گذشت در یکی از کمسابقهترین رخدادهای امنیتی زنجیره تأمین، زیرساخت بهروزرسانی آنتیویروس eScan، محصول شرکت هندی میکروولد تکنولوژیز (MicroWorld Technologies)، توسط مهاجمان ناشناس مورد نفوذ قرار گرفت و برای توزیع بدافزار چندمرحلهای (Multi-Stage Malware) علیه سیستمهای سازمانی و خانگی مورد سوءاستفاده قرار گرفت.
بهروزرسانیهای مخرب از طریق زیرساخت رسمی و قانونی eScan توزیع شدند که در نهایت منجر به نصب یک Downloader پایدار روی نقاط پایانی در سطح جهانی شده است.
میکروولد تکنولوژیز اعلام کرده که پس از شناسایی دسترسی غیرمجاز به زیرساخت خود، بلافاصله سرورهای بهروزرسانی آسیبدیده را ایزوله کرده است. این سرورها بیش از هشت ساعت از دسترس خارج بودهاند. همچنین یک اصلاحیه امنیتی منتشر شده که تغییرات اعمالشده توسط بهروزرسانی مخرب را بازگردانی میکند. به سازمانهای آسیبدیده توصیه شده است برای دریافت اصلاحیه با شرکت میکروولد تکنولوژیز تماس بگیرند.
آسـیبپـذیـریهـای در حـال سـوءاسـتفـاده
در بهمن 1404، مرکز CISA ایالات متحده، ضعفهای امنیتی زیر را به “فهرست آسیبپذیریهای در حال سوءاستفاده” یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:
CVE-2021-22175: GitLab Server-Side Request Forgery (SSRF) Vulnerability
CVE-2026-22769: Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials Vulnerability
CVE-2020-7796: Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery Vulnerability
CVE-2024-7694: TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type Vulnerability
CVE-2008-0015: Microsoft Windows Video ActiveX Control Remote Code Execution Vulnerability
CVE-2026-2441: Google Chromium CSS Use-After-Free Vulnerability
CVE-2026-1731: BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection Vulnerability
CVE-2026-20700: Apple Multiple Buffer Overflow Vulnerability
CVE-2024-43468: Microsoft Configuration Manager SQL Injection Vulnerability
CVE-2025-15556: Notepad++ Download of Code Without Integrity Check Vulnerability
CVE-2025-40536: SolarWinds Web Help Desk Security Control Bypass Vulnerability
CVE-2026-21513: Microsoft MSHTML Framework Protection Mechanism Failure Vulnerability
CVE-2026-21525: Microsoft Windows NULL Pointer Dereference Vulnerability
CVE-2026-21510: Microsoft Windows Shell Protection Mechanism Failure Vulnerability
CVE-2026-21533: Microsoft Windows Improper Privilege Management Vulnerability
CVE-2026-21519: Microsoft Windows Type Confusion Vulnerability
CVE-2026-21514 Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision Vulnerability
CVE-2025-11953: React Native Community CLI OS Command Injection Vulnerability
CVE-2026-24423: SmarterTools SmarterMail Missing Authentication for Critical Function Vulnerability
CVE-2021-39935: GitLab Community and Enterprise Editions Server-Side Request Forgery (SSRF) Vulnerability
CVE-2025-64328: Sangoma FreePBX OS Command Injection Vulnerability
CVE-2019-19006: Sangoma FreePBX Improper Authentication Vulnerability
CVE-2025-40551: SolarWinds Web Help Desk Deserialization of Untrusted Data Vulnerability
CVE-2026-1281: Ivanti Endpoint Manager Mobile (EPMM) Code Injection Vulnerability
CVE-2026-24858: Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel Vulnerability
CVE-2018-14634: Linux Kernel Integer Overflow Vulnerability
CVE-2025-52691: SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type Vulnerability
CVE-2026-23760: SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel Vulnerability
CVE-2026-24061: GNU InetUtils Argument Injection Vulnerability
CVE-2026-21509: Microsoft Office Security Feature Bypass Vulnerability
CVE-2024-37079: Broadcom VMware vCenter Server Out-of-bounds Write Vulnerability
CVE-2025-68645: Synacor Zimbra Collaboration Suite (ZCS) PHP Remote File Inclusion Vulnerability
CVE-2025-34026: Versa Concerto Improper Authentication Vulnerability
CVE-2025-31125: Vite Vitejs Improper Access Control Vulnerability
CVE-2025-54313: Prettier eslint-config-prettier Embedded Malicious Code Vulnerability
CVE-2026-20045: Cisco Unified Communications Products Code Injection Vulnerability
فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog