پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

رفع 67 اشکال امنیتی از جمله مشکل RCE توسط مایکروسافت

تیتر مطالب

به روز رسانی سه شنبه (دیروز) مایکروسافت، 67 اشکال امنیتی از جمله دو مورد که در حملات Zero Day مورد سوءاستفاده قرار میگرفت و دو مورد که جزییات آن قبلا منتشر شده، را رفع نموده است.
اولین آسیب پذیری Zero Day (CVE-2018-8174)، یک آسیب پذیری اجرای کد از راه دور در Windows VBScript Engine است که ناشی از دستکاری نادرست اشیا در حافظه می باشد. مهاجمان می توانند از این آسیب پذیری به منظور به دست آوردن حقوق کاربر مشابه به عنوان یک کاربر قانونی فعلی و در نهایت کنترل کامل یک سیستم آسیب دیده، سوءاستفاده نمایند.
BleepingComputer ماه گذشته گزارش داد که یک گروه APK از این اشکال در یک حمله پیچیده استفاده کرده که این حمله بر روی Internet Explorer   و هر برنامه دیگری که از هسته IE استفاده می کند، تاثیرگذار بوده است.
در یک حمله مبنتی بر وب، مهاجم یک صفحه وبسایت طراحی کرده و کاربر را مجبور میکند که آن را از طریق IE باز نماید و از این طریق قادر خواهد بود از آسیب پذیری Internet Explorer سوءاستفاده نماید. این آسیب پذیری توسط محققان Qihoo 360 و آزمایشگاه Kaspersky کشف گردیده است.
دیگر اشکال Zero Day (CVE-2018-8120)، یک آسیب پذیری ویندوز است که در کامپوننت WIN32K زمانیکه در بکارگیری درست اشیا ناموفق عمل می کند، رخ میدهد. این اشکال می تواند برای اجرای کد دلخواه در حالت هسته ای مورد سوء استفاده قرار بگیرد، به طوری که امکان کنترل برای مهاجم را فراهم می کند.
برای بهره برداری از این آسیب پذیری، مهاجم ابتدا باید وارد سیستم شود. مهاجم میتواند یک برنامه خاص طراحی شده را اجرا کند و از طریق از آسیب پذیری سوءاستفاده کرده و کنترل سیستم آسیب دیده را به دست گیرد. این اشکال توسط محققان ESET کشف شده است.
دو اشکال موجود دیگر اشکالات CVE-2018-8170 نقص EoP در تصویر هسته ویندوز و CVE-2018-8148 نقص افشای اطلاعات در هسته ویندوز می باشد.
جمعا 20 مورد از آسیب پذیریهای رفع شده، حیاتی هستند از جمله آسیب پذیری های فیزیکی حافظه چندگانه در scripting engine، Chakra scripting engine، مرورگرهای مایکروسافت و مسائل مربوط به اجرای کد از راه دور در محصول hypervisor  ویندوز  Hyper-V.
سایر محصولات و کامپوننت هایی که آسیب پذیری های آنها رفع شده عبارتند از : Microsoft Edge، Exchange، Office (به ویژه نرم افزار Excel  در موارد خاص) ، Outlook، SharePoint و … .

منابع :

microsoft

https://www.scmagazine.com