کمیته رکن چهارم – سهشنبه ۲۱ خرداد، شرکت مایکروسافت اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی ژوئن منتشر کرد. این اصلاحیهها در مجموع، ۸۸ آسیبپذیری را در سیستم عامل Windows و برخی دیگر از محصولات مایکروسافت ترمیم میکنند.
درجه اهمیت ۱۸ مورد از آسیبپذیریهای ترمیم شده توسط اصلاحیههای مذکور “حیاتی” (Critical) و ۶۹ مورد از آنها “بااهمیت” (Important) اعلام شده است.
در درجهبندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیههایی که این نوع نقاط ضعف را ترمیم میکنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت مینمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیههایی با درجه اهمیت “بااهمیت” برطرف و ترمیم میگردند.
جزییات چهار مورد از این آسیبپذیریها پیشتر بهصورت عمومی منتشر شده بود؛ گر چه خوشبختانه هیچ مورد بهرهجویی تا قبل از عرضه اصلاحیه آنها در ۲۱ خرداد گزارش نشد. چهار مورد مذکور که همگی از نوع ترفیع امتیازی (Elevation of Privilege) هستند با شناسههای CVE-2019-0973،وCVE-2019-1053،وCVE-2019-1064 و CVE-2019-1069 بهترتیب از ضعفهایی در Installer،وShell،وAppXSVC و Task Scheduler سیستم عامل Windows تأثیر میپذیرند.
از دیگر نکات قابل توجه در خصوص آسیبپذیریهای ترمیم شده توسط اصلاحیههای این ماه میتوان به سه ضعف امنیتی – با شناسههای CVE-2019-0620،وCVE-2019-0709 و CVE-2019-0722 – در محصول Hyper-V اشاره کرد که بهرهجویی از آنها مهاجم را از روی ماشین مجازی قادر به اجرا کد بر روی سیستم میزبان (Host) میکند.
همچنین مایکروسافت در اصلاحیههای ماه ژوئن خود دو ضعف امنیتی با شناسههای CVE-2019-1034 و CVE-2019-1035 را در نرمافزار Word برطرف کرده که سوءاستفاده از آنها امکان اجرای کد بهصورت از راه دور را برای مهاجم فراهم میکند.
مایکروسافت در کنار اصلاحیههای این ماه، ۴ توصیهنامه و آخرین بهروزرسانیهای Servicing Stack را نیز عرضه کرده است. برخی از این توصیهنامهها شامل نسخههای بهروز شده راهاندازها (Driver) و اصلاحیه برای محصولات ثالث نظیر Adobe Flash Player است که در نسخههای جدید مرورگر مایکروسافت مورد استفاده قرار میگیرد.
جدول زیر فهرست کامل اصلاحیههای عرضه شده مایکروسافت در ماه میلادی ژوئن را نمایش میدهد.
| محصول | شناسه CVE | ملاحظات |
| Adobe Flash Player | ADV190015 | اصلاحیههای ماه ژوئن شرکت ادوبی برای نرمافزار Flash Player؛ این اصلاحیهها نقاط ضعف نرمافزار Flash Player را که در نسخههای جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف میکنند. |
| Kerberos | CVE-2019-0972 | آسیبپذیری به حملات از کاراندازی سرویس |
| Microsoft Browsers | CVE-2019-1081 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Browsers | CVE-2019-1038 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Devices | ADV190017 | توصیهنامه در خصوص دستگاه های Microsoft HoloLens |
| Microsoft Devices | ADV190016 | توصیهنامه در خصوص نسخه BLE کلیدهای امنیتیFIDO |
| Microsoft Edge | CVE-2019-1054 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
| Microsoft Exchange Server | ADV190018 | توصیهنامه در خصوص بهبود امنیت سرویسدهنده Exchange |
| Microsoft Graphics Component | CVE-2019-1018 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Graphics Component | CVE-2019-1047 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1046 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1013 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1015 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1016 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1048 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-0977 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-0960 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Graphics Component | CVE-2019-0968 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1049 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1050 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-0985 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Graphics Component | CVE-2019-1010 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1009 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1011 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Graphics Component | CVE-2019-1012 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft JET Database Engine | CVE-2019-0905 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0974 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0904 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0906 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0908 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0909 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft JET Database Engine | CVE-2019-0907 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Office | CVE-2019-1035 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Office | CVE-2019-1034 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Office SharePoint | CVE-2019-1032 | آسیبپذیری به حملات تزریق اسکریپت از طریق سایت |
| Microsoft Office SharePoint | CVE-2019-1036 | آسیبپذیری به حملات تزریق اسکریپت از طریق سایت |
| Microsoft Office SharePoint | CVE-2019-1031 | آسیبپذیری به حملات تزریق اسکریپت از طریق سایت |
| Microsoft Office SharePoint | CVE-2019-1033 | آسیبپذیری به حملات تزریق اسکریپت از طریق سایت |
| Microsoft Scripting Engine | CVE-2019-1002 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-0991 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1080 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1023 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Scripting Engine | CVE-2019-0993 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-0992 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1024 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-0990 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Scripting Engine | CVE-2019-0988 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-0989 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1055 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1052 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1051 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-0920 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Scripting Engine | CVE-2019-1003 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Microsoft Windows | CVE-2019-1069 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-1064 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-0888 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Windows | CVE-2019-1025 | آسیبپذیری به حملات از کاراندازی سرویس |
| Microsoft Windows | CVE-2019-1045 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-1043 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Windows | CVE-2019-0710 | آسیبپذیری به حملات از کاراندازی سرویس |
| Microsoft Windows | CVE-2019-0709 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Windows | CVE-2019-0722 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Microsoft Windows | CVE-2019-0943 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-0713 | آسیبپذیری به حملات از کاراندازی سرویس |
| Microsoft Windows | CVE-2019-0983 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-0984 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-0711 | آسیبپذیری به حملات از کاراندازی سرویس |
| Microsoft Windows | CVE-2019-0948 | آسیبپذیری به حملات نشت اطلاعات |
| Microsoft Windows | CVE-2019-0959 | آسیبپذیری به حملات ترفیع امتیازی |
| Microsoft Windows | CVE-2019-0998 | آسیبپذیری به حملات ترفیع امتیازی |
| Servicing Stack Updates | ADV990001 | آخرین بهروزرسانیهای Servicing Stack |
| Skype for Business and Microsoft Lync | CVE-2019-1029 | آسیبپذیری به حملات از کاراندازی سرویس |
| Team Foundation Server | CVE-2019-0996 | آسیبپذیری به حملات جعل |
| VBScript | CVE-2019-1005 | آسیبپذیری به حملات ایجاد اختلال در حافظه |
| Windows Authentication Methods | CVE-2019-1040 | آسیبپذیری به حملات دستدرازی |
| Windows Hyper-V | CVE-2019-0620 | آسیبپذیری به حملات اجرای کد بهصورت از راه دور |
| Windows IIS | CVE-2019-0941 | آسیبپذیری به حملات از کاراندازی سرویس |
| Windows Installer | CVE-2019-0973 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Kernel | CVE-2019-1044 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
| Windows Kernel | CVE-2019-1014 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Kernel | CVE-2019-1017 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Kernel | CVE-2019-1065 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Kernel | CVE-2019-1041 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Kernel | CVE-2019-1039 | آسیبپذیری به حملات نشت اطلاعات |
| Windows Media | CVE-2019-1026 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Media | CVE-2019-1007 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Media | CVE-2019-1027 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Media | CVE-2019-1022 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Media | CVE-2019-1021 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Media | CVE-2019-1028 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows NTLM | CVE-2019-1019 | آسیبپذیری به حملات عبور از سد تنظیمات امنیتی |
| Windows Shell | CVE-2019-0986 | آسیبپذیری به حملات ترفیع امتیازی |
| Windows Shell | CVE-2019-1053 | آسیبپذیری به حملات ترفیع امتیازی |
منبع : شبکه گستر
