چاپ        ارسال به دوست

انتشار به‌روزرسانی امنيتی ماه ژوئن سال ۲۰۱۸ مايکروسافت

‫مایکروسافت در به‌روزرسانی امنیتی ماه ژوئن سال ۲۰۱۸ خود در مجموع ۵۱ آسیب‌پذیری را در محصولاتی همچون سیستم‌عامل‌های ویندوز، مرورگرهای Microsoft Edgeو Internet Explorerو مجموعه محصولات Microsoft Officeبرطرف ساخته است.

شایان ذکر است که چرخه‌ی امنیتی ماه جاری نسبتاً خوب بوده است، زیرا هیچ آسیب‌پذیری روز صفرمی کشف نشده است؛ اما این بدان معنی نیست که وصله‌کردن سیستم‌ها به تأخیر بیفتد.

مهم‌تر از همه، مایکروسافت در این به‌روزرسانی مقابله‌ی بیشتری در برابر نسخه‌ی ۴ آسیب‌پذیری Spectreارایه داده است وحال انتظار می‌رود Intelنیز به‌روزرسانی‌های ریزکد جدیدی را برای رفع این نقص ارسال نماید.

مایکروسافت در این وصله، آسیب‌پذیری CVE-۲۰۱۸-۸۲۲۵را برطرف می‌سازد. این آسیب‌پذیری یک نقص اجرای کد راه دور DNSAPIویندوز است که به مهاجم اجازه می‌دهد کد دلخواه را در متن حساب سیستمی محلی اجرا نماید.  برای سوءاستفاده از این آسیب‌پذیری، مهاجم از کارگزار DNSمخربی برای ارسال پاسخ‌های DNSخراب به هدف استفاده خواهد کرد. مایکروسافت ادعا می‌کند احتمال سوءاستفاده از این آسیب‌پذیری کم است و در حال حاضر هیچ سوءاستفاده‌ی شناخته‌‌شده‌ای وجود ندارد. تمامی نسخه‌های ویندوز، از جمله Windows ۱۰تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.

در به‌روزرسانی امنیتی ماه جاری، مایکروسافت آسیب‌پذیری بحرانی CVE-۲۰۱۸-۸۲۳۱که اجازه اجرای کد راه دور را می‌دهد نیز رفع کرده است. آسیب‌پذیری اجرای کد راه دور زمانی وجود دارد که پشته‌ی پروتکل HTTP(HTTP.sys) اشیا را در حافظه به‌درستی به‌کار نگیرد. مهاجمی که از این آسیب‌پذیری سوءاستفاده کرده باشد می‌تواند کد دلخواه را اجرا و کنترل سیستم هدف را در دست گیرد. مایکروسافت ادعا می‌کند، احتمال سوءاستفاده از این آسیب‌پذیری نیز اندک است. برای سوءاستفاده از این آسیب‌پذیری لازم است مهاجم یک فایل ساختگی را به یک کارگزار HTTP.sysارسال کند. این به‌روزرسانی جدید، روشی که پشته‌ی پروتکل HTTPاشیا را در حافظه به‌کار می‌گیرد تصحیح کرده است. تنها Windows ۱۰تحت‌تأثیر این آسیب‌پذیری قرار گرفته است و به کاربران توصیه می‌شود هر چه سریعتر این آسیب‌پذیری را وصله کنند.

تمامی به‌روزرسانی‌های ماه ژوئن حال از طریق Windows Updateدر دسترس هستند و در حال حاضر هیچ اشکال شناخته‌شده‌ای وجود ندارد.

منبع: https://www.certcc.ir/news/12430


 دسته‌ها:  اخبار امنیتی-آسیب پذیری ها

 


١٦:٠٠ - سه شنبه ١٢ تير ١٣٩٧    /    شماره : ١٧٥٣٤    /    تعداد نمایش : ١٥٤١



خروج