مایکروسافت بیش از ۱۰۰ نقص را با وصله سه شنبه آگوست ۲۰۲۵ برطرف نمود

مایکروسافت به‌روزرسانی‌های برنامه‌ریزی‌شده‌ی وصله سه شنبه (Patch Tuesday) را برای آگوست ۲۰۲۵ منتشر کرده است. بسته‌ی به‌روزرسانی این ماه از اهمیت بالایی برخوردار است چرا که بیش از صد آسیب‌پذیری، من جمله یک آسیب‌پذیری روز صفر، را برطرف می‌کند.

مهم‌ترین وصله‌ی امنیتی در به‌روزرسانی‌های  وصله‌ سه شنبه آگوست، یک آسیب‌پذیری روز صفر را در مایکروسافت ویندوز کربروس (Microsoft Windows Kerberos) برطرف کرد. در حالی که مایکروسافت هیچ بهره برداری فعالی از این نقص را تأیید نکرده است، با اینحال افشای عمومی این آسیب‌پذیری را قبل از رفع آن تأیید کردند. مایکروسافت این آسیب‌پذیری را که با شناسه CVE-2025-53779 شناسایی شده است، به‌عنوان یک نقص افزایش دسترسی در ویندوز کربروس (Windows Kerberos)، پروتکل احراز هویت در ویندوز سرور ۲۰۲۵، توصیف کرد.

این آسیب‌پذیری، امتیاز CVSS 7.2 و شدت متوسط کسب نموده است. مایکروسافت از محقق امنیتی Yuval Gordon از شرکت آکامای، برای گزارش این آسیب‌پذیری قدردانی نمود. این محقق پیش از این جزئیاتی در مورد این نقص که "BadSuccessor" نامیده می‌شود را در یک پست وبلاگ جداگانه به اشتراک گذاشته است و در آن گزارش این آسیب‌پذیری به مایکروسافت در آوریل 2025 را تأیید کرده است. با این حال، ظاهراً این غول فناوری شدت موضوع را کم‌اهمیت جلوه داده و رفع فوری آن را به تعویق انداخته است. خوشبختانه، با وجود اینکه آسیب پذیری مذکور ماه ها شناخته شده بود، اما از بهره‌برداری در امان ماند. اکنون که این وصله در دسترس است، کاربران باید سیستم‌های خود را برای دریافت آن به‌روزرسانی نمایند.

 سایر رفع نقص‌های مهم مایکروسافت با وصله سه‌شنبه آگوست

 جدا از این آسیب‌پذیری روز صفر، مایکروسافت در این ماه 107 آسیب‌پذیری دیگر را نیز برطرف نمود. این موارد شامل 12 آسیب‌پذیری با شدت بحرانی و 92 نقص با شدت مهم، می باشد. علاوه بر این، یک نقص با شدت متوسط ​​(CVE-2025-49736) و یک نقص با شدت پایین (CVE-2025-49755) را در مرورگر مایکروسافت اج برطرف نمود. با توجه به نوع این آسیب‌پذیری‌ها، این به‌روزرسانی ۴ آسیب‌پذیری انکار سرویس، ۴۱ نقص افزایش دسترسی، ۱۶ نقص افشای اطلاعات، ۳۵ آسیب‌پذیری اجرای کد از راه دور، ۸ نقص جعل، ۱ دستکاری و ۱ آسیب‌پذیری اسکریپت‌نویسی بین‌سایتی را برطرف کرد.

 برخی از آسیب‌پذیری‌های قابل توجه عبارتند از:

• CVE-2025-53766 (بحرانی؛ CVSS 9.8): یک سرریز بافر heap در GDI+  ویندوز که می‌تواند امکان اجرای کد از راه دور را از طریق شبکه فراهم کند. یک مهاجم احراز هویت نشده می‌تواند با فریب کاربر هدف برای باز کردن یک فایل مخرب دستکاری شده، از این نقص بهره برداری نماید.
•  CVE-2025-50165 (مهم؛ CVSS 9.8): آسیب‌پذیری اجرای کد از راه دور در Windows Graphics Component. یک مهاجم احراز هویت نشده می‌تواند حتی بدون تعامل با کاربر از این نقص بهره برداری کند.
•  CVE-2025-50171 (مهم؛ CVSS 9.1): به دلیل عدم احراز هویت در سرور دسکتاپ از راه دور، یک مهاجم مجاز می‌تواند از طریق شبکه هدف، جعل هویت انجام دهد.

مایکروسافت به‌طور خودکار این به‌روزرسانی‌های زمان‌بندی‌شده را برای همه دستگاه‌های واجد شرایط اجرا می‌کند. با این حال، کاربران همچنان باید از به‌روزرسانی به‌موقع سیستم‌های خود از طریق بررسی دستی اطمینان حاصل کنند تا تمام اصلاحات امنیتی را دریافت کرده و از حملات احتمالی از طریق آسیب‌پذیری‌های وصله نشده جلوگیری نمایند.

منبع:

https://latesthackingnews.com/2025/08/20/microsoft-fixed-over-100-flaws-with-august-2025-patch-tuesday/