مایکروسافت بروزرسانیهای امنیتی ماه می محصولات خود را منتشر کرده که در این بروزرسانیها ۷۹ آسیبپذیری رفع شده است. ۱۹ مورد از آسیبپذیریهای رفع شده دارای درجه حساسیت بحرانی هستند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، یکی از مهمترین آسیبپذیریهای رفع شده یک نقص روز صفر با شناسه CVE-۲۰۱۹-۰۸۶۳ است. این نقص که در نحوه تعامل سرویس Windows Error Reporting یا (WER) با فایلها وجود دارد، منجر به افزایش سطح دسترسی مهاجم میشود.
در این بروزرسانی، مایکروسافت یک وصله به همراه راهکار کاهش اثرات یک نقص طراحی جدید در پردازندهها نیز منتشر کرده است. این نقص طراحی سختافزاری که با عنوان حملات Microarchitectural Data Sampling یا (MDS) شناخته میشود، تقریبا تمامی پردازندههای اینتل که در هشت سال گذشته منتشر شدهاند را تحت تاثیر قرار میدهد. این آسیبپذیری که جزو حملات side-channel است، در رده آسیبپذیریهای Meltdown، Spectre و Foreshadow قرار میگیرد.
مایکروسافت اعلام کرده است که برای جلوگیری از حملات MDS، دو بروزرسانی باید اعمال شود که یک مورد مربوط به firmware سختافزاری و مورد دیگر مربوط به سیستمعامل است. بروزرسانیهای مایکروسافت برای ویندوز و ویندوز سرور منتشر شدهاند اما بروزرسانیهای پردازنده برای سیستمهای زیر هنوز توسط اینتل منتشر نشدهاند:
• Windows ۱۰ Version ۱۸۰۳ for x۶۴-based Systems
• Windows Server, version ۱۸۰۳ (Server Core Installation)
• Windows ۱۰ Version ۱۸۰۹ for x۶۴-based Systems
• Windows Server ۲۰۱۹
• Windows Server ۲۰۱۹ (Server Core installation)
یکی از راههای مقابله با حملات MDS غیرفعالسازی پشتیبانی پردازنده اینتل از ویژگی Hyper-Threading یا (SMT) است، اما این کار باعث افت عملکرد سیستمهای ویندوزی میشود.
آسیبپذیری با اهمیت دیگر که در این بروزرسانیها رفع شده، نقص CVE-۲۰۱۹-۰۷۰۸ است که سرویس Remote Desktop Service را تحت تاثیر قرار میدهد. یک مهاجم میتواند با ارسال درخواستهای دستکاری شده از طریق پروتکل Remote Desktop Protocol یا (RDP) از این آسیبپذیری سوء استفاده کند. این نقص میتواند منجر به فعالیتهای خرابکارانه مشابه انتشار بدافزار WannaCry شود. آسیبپذیری CVE-۲۰۱۹-۰۷۰۸ تنها ویندوز ۷، ویندوز سرور ۲۰۰۸ و ۲۰۰۸ R۲ و نسخههای قدیمیتر را تحت تاثیر قرار میدهد.
لیست تمامی آسیبپذیریهای رفع شده در جدول زیر ارائه شده است:
| محصول | شناسه آسیبپذیری |
| Servicing Stack Updates | ADV۹۹۰۰۰۱ |
| Adobe Flash Player | ADV۱۹۰۰۱۲ |
| Microsoft Windows | ADV۱۹۰۰۱۳ |
| .NET Core | CVE-۲۰۱۹-۰۹۸۲ |
| .NET Core | CVE-۲۰۱۹-۰۹۸۱ |
| .NET Core | CVE-۲۰۱۹-۰۹۸۰ |
| .NET Framework | CVE-۲۰۱۹-۰۸۶۴ |
| .NET Framework | CVE-۲۰۱۹-۰۸۲۰ |
| Azure | CVE-۲۰۱۹-۱۰۰۰ |
| Internet Explorer | CVE-۲۰۱۹-۰۹۲۹ |
| Internet Explorer | CVE-۲۰۱۹-۰۹۹۵ |
| Internet Explorer | CVE-۲۰۱۹-۰۹۳۰ |
| Internet Explorer | CVE-۲۰۱۹-۰۹۲۱ |
| Kerberos | CVE-۲۰۱۹-۰۷۳۴ |
| Microsoft Browsers | CVE-۲۰۱۹-۰۹۴۰ |
| Microsoft Dynamics | CVE-۲۰۱۹-۱۰۰۸ |
| Microsoft Edge | CVE-۲۰۱۹-۰۹۳۸ |
| Microsoft Edge | CVE-۲۰۱۹-۰۹۲۶ |
| Microsoft Graphics Component | CVE-۲۰۱۹-۰۸۹۲ |
| Microsoft Graphics Component | CVE-۲۰۱۹-۰۹۶۱ |
| Microsoft Graphics Component | CVE-۲۰۱۹-۰۷۵۸ |
| Microsoft Graphics Component | CVE-۲۰۱۹-۰۹۰۳ |
| Microsoft Graphics Component | CVE-۲۰۱۹-۰۸۸۲ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۸ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۵ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۷ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۸۹ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۰ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۱ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۶ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۳ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۴ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۹۰۱ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۸۹۹ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۹۰۰ |
| Microsoft JET Database Engine | CVE-۲۰۱۹-۰۹۰۲ |
| Microsoft Office | CVE-۲۰۱۹-۰۹۴۷ |
| Microsoft Office | CVE-۲۰۱۹-۰۹۵۳ |
| Microsoft Office | CVE-۲۰۱۹-۰۹۴۵ |
| Microsoft Office | CVE-۲۰۱۹-۰۹۴۶ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۷ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۶ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۴۹ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۰ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۲ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۱ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۶۳ |
| Microsoft Office SharePoint | CVE-۲۰۱۹-۰۹۵۸ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۲۴ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۲۳ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۲۷ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۲۲ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۸۸۴ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۳۳ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۲۵ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۳۷ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۸ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۳ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۲ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۱ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۴ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۷ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۶ |
| Microsoft Scripting Engine | CVE-۲۰۱۹-۰۹۱۵ |
| Microsoft Windows | CVE-۲۰۱۹-۰۷۳۳ |
| Microsoft Windows | CVE-۲۰۱۹-۰۹۳۶ |
| Microsoft Windows | CVE-۲۰۱۹-۰۸۸۶ |
| Microsoft Windows | CVE-۲۰۱۹-۰۸۶۳ |
| Microsoft Windows | CVE-۲۰۱۹-۰۹۴۲ |
| Microsoft Windows | CVE-۲۰۱۹-۰۹۳۱ |
| Microsoft Windows | CVE-۲۰۱۹-۰۸۸۵ |
| NuGet | CVE-۲۰۱۹-۰۹۷۶ |
| Skype for Android | CVE-۲۰۱۹-۰۹۳۲ |
| SQL Server | CVE-۲۰۱۹-۰۸۱۹ |
| Team Foundation Server | CVE-۲۰۱۹-۰۹۷۱ |
| Team Foundation Server | CVE-۲۰۱۹-۰۹۷۹ |
| Team Foundation Server | CVE-۲۰۱۹-۰۸۷۲ |
| Windows DHCP Server | CVE-۲۰۱۹-۰۷۲۵ |
| Windows Diagnostic Hub | CVE-۲۰۱۹-۰۷۲۷ |
| Windows Kernel | CVE-۲۰۱۹-۰۸۸۱ |
| Windows NDIS | CVE-۲۰۱۹-۰۷۰۷ |
| Windows RDP | CVE-۲۰۱۹-۰۷۰۸ |
منابع :
