جمعه ۲ آذر ۱۴۰۳ , 22 Nov 2024
جالب است ۰
شرکت مایکروسافت برای ماه می تعدادی وصله‌ امنیتی منتشر کرد.
منبع : مرکز مدیریت راهبردی افتا
شرکت مایکروسافت برای ماه می تعدادی وصله‌ امنیتی منتشر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت مایکروسافت روز سه‌شنبه، ۲۱ اردیبهشت‌ماه، مجموعه وصله‌های امنیتی ماهانه خود را برای ماه می میلادی منتشر کرد. وصله‌های مذکور در مجموع ۵۵ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت را در برمی‌گیرد. درجه اهمیت ۴ مورد از این آسیب‌پذیری‌ها Critical و ۵۰ مورد Important اعلام شده است.

CVE-۲۰۲۱-۳۱۱۶۶ یکی از آسیب‌پذیری‌های بحرانی ترمیم شده توسط وصله‌های ۲۱ اردیبهشت است که از http protocol stack ناشی می‌شود. مهاجم می‌تواند با ارسال یک بسته دست‌کاری شده به سرور مقصد، بدون نیاز به اصالت‌سنجی، اقدام به اجرای کد از راه دور کند. برطبق استاندارد CVSS شدت این آسیب‌پذیری ۹,۸ از ۱۰ گزارش شده است. با توجه به ‌سهولت در سوءاستفاده از CVE-۲۰۲۱-۳۱۱۶۶ توصیه اکید به نصب سریع وصله مربوطه می‌شود.

CVE-۲۰۲۱-۲۶۴۱۹، دیگر آسیب‌پذیری Critical این ماه است که بخش Scripting Engine مرورگر Internet Explorer از آن متأثر می‌شود.

مهاجم از روش‌های زیر می‌تواند از آسیب‌پذیری ذکر‌شده بهره‌برداری و مبادرت به اجرای کد دلخواه خود کند:
تزریق کد Exploit در سایت و هدایت قربانی به آن، جاسازی یک افزونه ActiveX با برچسب “Safe for Initialization” در یک برنامه، به‌کارگیریInternet Explorer Rendering Engine در یک سند تحت Office و فریب قربانی درباز کردن آن.

CVE-۲۰۲۱-۳۱۱۹۴ سومین آسیب‌پذیری Critical این ماه است که OLE Automation از آن تأثیر می‌پذیرد. سوءاستفاده از این آسیب‌پذیری امکان اجرای کد از راه دور را برای مهاجم بدون نیاز به هرگونه دخالت قربانی فراهم می‌کند.

CVE-۲۰۲۱-۲۸۴۷۶ نیز ضعفی Critical در Hyper-V است که موجبات حملات DoS را فراهم می‌کند.

همچنین سه مورد از آسیب‌پذیری‌های ترمیم شده در ۲۱ اردیبهشت از نوع Zero-day بوده و جزئیات آن‌ها پیشتر افشا شده بود. هرچند نمونه‌ای از مورد سوءاستفاده قرارگرفتن آنها به‌صورت عمومی گزارش نشده است.

فهرست این آسیب‌پذیری‌ها به شرح زیر است:
CVE-۲۰۲۱-۳۱۲۰۴ – ضعفی از نوع Elevation of Privilege است که محصولات .NET و Visual Studio از آن تأثیر می‌پذیرند.
CVE-۲۰۲۱-۳۱۲۰۷ – ضعفی از نوع Security Feature Bypass در سرویسدهنده Microsoft Exchange است. وجود این آسیب‌پذیری در جریان رقابت Pwn۲Own در سال میلادی جاری افشا شده بود.
CVE-۲۰۲۱-۳۱۲۰۰ – ضعفی از نوع Remote Code Execution است که مجموعه ابزارهای Common Utilities از آن متأثر می‌شوند.

فهرست کامل آسیب‌پذیری‌های ترمیم شده توسط مجموعه وصله‌های می ۲۰۲۱ مایکروسافت در این لینک آمده است.
کد مطلب : 17828
https://aftana.ir/vdcfccdy.w6de0agiiw.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی