انتشار وصله‌های امنیتی برای ۵۶ نقص، از جمله یک اکسپلویت فعال و دو آسیب‌پذیری روز صفر توسط مایکروسافت

مایکروسافت سال ۲۰۲۵ را با ارائه وصله‌هایی برای ۵۶ نقص امنیتی در محصولات مختلف در پلتفرم ویندوز، از جمله یک آسیب‌پذیری که به طور فعال مورد بهره برداری قرار گرفته بود، به پایان رساند.

از بین ۵۶ نقص، سه مورد بحرانی و ۵۳ مورد از نظر شدت، مهم ارزیابی شده‌اند. دو نقص دیگر در زمان انتشار به صورت عمومی منتشر شده‌اند. این موارد شامل ۲۹ مورد افزایش دسترسی، ۱۸ مورد اجرای کد از راه دور، چهار مورد افشای اطلاعات، سه مورد انکار سرویس و دو مورد جعل هویت می باشند.

طبق داده‌های جمع‌آوری‌شده توسط  Fortra، در مجموع، مایکروسافت در سال ۲۰۲۵، ۱۲۷۵ آسیب‌پذیری CVE را برطرف کرده است. Satnam Narang از Tenable بیان کرد که سال ۲۰۲۵ همچنین دومین سال متوالی است که این سازنده ویندوز بیش از ۱۰۰۰ آسیب‌پذیری CVE را وصله کرده است و سومین بار از زمان آغاز وصله سه شنبه است که این کار را انجام می‌دهد.

این به‌روزرسانی علاوه بر ۱۷ نقصی می باشد که این غول فناوری از زمان انتشار به‌روزرسانی سه‌شنبه‌ی وصله‌ی نوامبر ۲۰۲۵، در مرورگر اج مبتنی بر کرومیوم خود برطرف کرده است. این نقص همچنین شامل یک آسیب‌پذیری جعل در اج برای  iOS ، CVE-2025-62223، امتیاز CVSS: 4.3می باشد.

شناسه این آسیب پذیری که مورد بهره برداری فعال قرار گرفته است، CVE-2025-62221 با امتیاز CVSS: 7.8 می باشد. آسیب‌پذیری مذکور یک آسیب پذیری استفاده پس از آزادسازی در درایور فیلتر کوچک فایل‌های ابری ویندوزاست که می‌تواند به یک مهاجم احراز هویت شده اجازه دهد تا دسترسی های محلی را افزایش دهد و مجوزهای سیستم را به دست آورد.

"فیلتر کوچک فایل‌های ابری توسط  OneDrive، Google Drive،  iCloud  و دیگران استفاده می‌شود، اگرچه به عنوان یک جزء اصلی ویندوزمی باشد، همچنان در سیستمی که هیچ یک از این برنامه‌ها نصب نشده‌اند، وجود خواهد داشت."

در حال حاضر مشخص نیست که چگونه و در چه زمینه‌ای از این آسیب‌پذیری بهره برداری می شود، اما سوءاستفاده موفقیت‌آمیز مستلزم آن است که مهاجم از طریق روش‌های دیگری به یک سیستم حساس دسترسی پیدا کند. مرکز اطلاعات تهدید مایکروسافت (MSTIC) و مرکز پاسخگویی امنیتی مایکروسافت (MSRC) به دلیل کشف و گزارش این نقص مورد تقدیر قرار گرفته‌اند.

به گفته مایک والترز، رئیس و یکی از بنیانگذاران Action1، یک عامل تهدید می‌تواند از طریق روش‌هایی مانند فیشینگ، بهره برداری از مرورگر وب یا یک نقص اجرای کد از راه دور شناخته شده دیگر، به دسترسی با سطح دسترسی پایین دست یابد و سپس آن را با CVE-2025-62221 ترکیب کند تا کنترل میزبان را به دست گیرد.

با این دسترسی، مهاجم می‌تواند اجزای هسته را مستقر کند یا از درایورهای امضا شده سوءاستفاده کند تا از سد دفاعی عبور کند و پایداری خود را حفظ کند و می‌تواند برای دستیابی به یک خطر در سطح دامنه در صورت همراه شدن با سناریوهای سرقت اعتبارنامه، مسلح شود.

بهره برداری از آسیب‌پذیری  CVE-2025-62221، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) را بر آن داشته است تا آن را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده (KEV) اضافه کند و سازمان‌های شاخه اجرایی غیرنظامی فدرال (FCEB) را موظف به اعمال وصله تا 30 دسامبر 2025 کند.

دو آسیب‌پذیری روز صفر باقی‌مانده در زیر فهرست شده‌اند:

• آسیب پذیریCVE-2025-54100  امتیاز( CVSS: 7.8) یک آسیب‌پذیری تزریق دستور در Windows PowerShell که به یک مهاجم احراز هویت نشده اجازه می‌دهد کد را به‌صورت محلی اجرا کند.

• CVE-2025-64671  امتیاز (CVSS: 8.4) - یک آسیب‌پذیری تزریق دستور در  GitHub Copilot   برای JetBrains که این امکان را به یک مهاجم احراز هویت نشده می‌دهد کد را به‌صورت محلی اجرا کند.

Alex Vovk از Action1 در مورد CVE-2025-54100 گفت: "این یک نقص تزریق دستور در نحوه پردازش محتوای وب توسط Windows PowerShell است." «این آسیب‌پذیری به یک مهاجم احراز هویت نشده اجازه می‌دهد تا کد دلخواه را در زمینه امنیتی کاربری که یک دستور PowerShell دستکاری‌شده مانند Invoke-WebRequest را اجرا می‌کند، اجرا نماید."

وصله‌های نرم‌افزاری از سایر فروشندگان:

علاوه بر مایکروسافت، به‌روزرسانی‌های امنیتی توسط سایر فروشندگان نیز طی چند هفته گذشته برای اصلاح چندین آسیب‌پذیری منتشر شده است، از جمله:

Adobe

Amazon Web Services

AMD

Arm

ASUS

Atlassian

Bosch

Broadcom (including VMware)

Canon

Cisco

Citrix

CODESYS

Dell

Devolutions

Drupal

F5

Fortinet

Fortra

GitLab

Google Android and Pixel

Google Chrome

Google Cloud

Google Pixel Watch

Hitachi Energy

HP

HP Enterprise (including Aruba Networking and Juniper Networks)

IBM

Imagination Technologies

Intel

Ivanti

Lenovo

Linux distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, and Ubuntu

MediaTek

Mitsubishi Electric

MongoDB

Moxa

Mozilla Firefox and Firefox ESR

NVIDIA

OPPO

Progress Software

Qualcomm

React

Rockwell Automation

Samsung

SAP

Schneider Electric

Siemens

SolarWinds

Splunk

Synology

TP-Link

WatchGuard

Zoom, and

Zyxel 

منبع"

https://thehackernews.com/2025/12/microsoft-issues-security-fixes-for-56.html