ترمیم بیش از 80 ضعف امنیتی در اصلاحیههای ماه سپتامبر مایکروسافت
سهشنبه، 18 شهریور، شرکت مایکروسافت (Microsoft)، مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی سپتامبر 2025 منتشر کرد. اصلاحیههای مذکور، 81 آسیبپذیری را که دو مورد آنها، روز-صفر گزارش شده در محصولات مختلف این شرکت ترمیم میکنند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتا تهیه شده، برخی از این بهروزرسانیهای منتشرشده بهطور اجمالی مورد بررسی قرار گرفته است.
مجموعهاصلاحیههای ماه سپتامبر، انواع مختلفی از آسیبپذیریها از جمله موارد زیر را در محصولات مایکروسافت ترمیم میکنند:
- Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
- Elevation of Privilege (افزایش سطح دسترسی)
- Information Disclosure (افشای اطلاعات)
- Denial of Service – به اختصار DoS (منع سرویس)
- Security Feature Bypass (عبور از سد سازوکارهای امنیتی)
- Spoofing (جعل)
Elevation of Privilege و RCE، به ترتیب با 41 و 22 مورد، بیشترین سهم از انواع آسیبپذیریهای این ماه را به خود اختصاص دادهاند.
9 مورد از آسیبپذیریهای وصلهشده، “بحرانی” (Critical) گزارش شدهاند. در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، “بحرانی” تلقی شده میشوند.
همانطور که اشاره شد 2 مورد از آسیبپذیریهای وصلهشده، از نوع “روز-صفر” (Zero-day) اعلام شدهاند. مایکروسافت، آن دسته از آسیبپذیریها را روز-صفر میداند که قبل از عرضه اصلاحیه و بهروزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفتهاند یا جزییات آنها بهطور عمومی افشا شده باشد.
آسیبپذیریهای روز-صفر این ماه که جزییات هر دوی آنها از پیش از انتشار وصله افشا شده عبارتند از:
- CVE-2025-55234 که ضعفی از نوع Elevation of Privilege در Windows SMB است و میتواند در جریان حملات Relay موردسوءاستفاده قرار بگیرد. به گفته مایکروسافت، مهاجمی که با موفقیت از این آسیبپذیری بهرهبردای کند، میتواند حملات Relay انجام دهد و سطح دسترسی کاربر قربانی را برای اهداف مخرب خود ارتقا دهد.
- CVE-2024-21907 مربوط به کتابخانه Json (قبل از نسخه 13.0.1) است که بهطور پیشفرض در Microsoft SQL Server هم استفاده میشود. این نقص به دلیل مدیریت نادرست شرایط استثنایی رخ میدهد و اگر دادههای دستکاریشده به متد JsonConvert.DeserializeObject ارسال شوند، میتواند منجر به خطای StackOverflow و در نتیجه حمله DoS شود. مهاجم، بدون نیاز به اصالتسنجی و بهصورت از راه دور میتواند از این ضعف سوءاستفاده کند.
فهرست کامل آسیبپذیریهای ترمیمشده / بهروزشده توسط مجموعهاصلاحیههای سپتامبر 2025 مایکروسافت در جدول زیر قابل مطالعه است:
|
تاریخ انتشار |
تاریخ آخرین بهروزرسانی |
شناسه |
شرح |
افشای عمومی |
گزارش سوءاستفاده |
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Azure Connected Machine Agent Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Xbox Gaming Services Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft OfficePlus Spoofing Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Graphics Kernel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows SMB Elevation of Privilege Vulnerability |
بله |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Graphics Component Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft SQL Server Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Graphics Kernel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Hyper-V Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
DirectX Graphics Kernel Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Graphics Component Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows NTLM Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
MapUrlToZone Security Feature Bypass Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows NTFS Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows UI XAML Maps MapControlSettings Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows BitLocker Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows BitLocker Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Office Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft PowerPoint Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Office Visio Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Office Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Word Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft SharePoint Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Excel Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Local Security Authority Subsystem Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows MultiPoint Services Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Hyper-V Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Connected Devices Platform Service (Cdpsvc) Denial of Service Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Virtual Hard Disk Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows UI XAML Phone DatePickerFlyout Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Kernel Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
MapUrlToZone Security Feature Bypass Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft Brokering File System Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Management Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Connected Devices Platform Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows SMB Client Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Hyper-V Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows TCP/IP Driver Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Hyper-V Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Hyper-V Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Defender Firewall Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Graphics Component Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
HTTP.sys Denial of Service Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Kernel-Mode Driver Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Kernel Memory Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Bluetooth Service Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft DWM Core Library Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Graphics Component Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Imaging Component Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
PowerShell Direct Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Azure Connected Machine Agent Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Aug 12, 2025 |
Sep 9, 2025 |
Windows Hyper-V Remote Code Execution Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
Microsoft SQL Server Information Disclosure Vulnerability |
خیر |
خیر |
|
|
May 13, 2025 |
Sep 9, 2025 |
Windows Lightweight Directory Access Protocol (LDAP) Denial of Service Vulnerability |
خیر |
خیر |
|
|
Jan 14, 2025 |
Sep 9, 2025 |
Active Directory Domain Services Elevation of Privilege Vulnerability |
خیر |
خیر |
|
|
Sep 9, 2025 |
Sep 9, 2025 |
VulnCheck: CVE-2024-21907 Improper Handling of Exceptional Conditions in Newtonsoft.Json |
بله |
خیر |
|
|
Nov 13, 2018 |
Sep 9, 2025 |
Latest Servicing Stack Updates |
خیر |
خیر |