اصلاحیه‌های امنیتی عرضه شده در هفته دوم اردیبهشت ماه

کمیته رکن چهارم – در دومین هفته از اردیبهشت ماه ۱۳۹۷، گروه توسعه‌دهنده PHP و دو شرکت سیسکو و مایکروسافت اقدام به عرضه اصلاحیه‌های امنیتی کردند.

در اوایل این هفته، گروه توسعه‌دهنده PHP، به‌روزرسانی‌هایی را برای ترمیم چند ضعف امنیتی در این زبان برنامه نویسی پرطرفدار تحت وب منتشر کرد. مهاجم با بهره‌جویی از یکی از این ضعف‌های امنیتی قادر به در اختیار گرفتن کنترل سایت مبتنی بر نسخه آسیب‌پذیر PHP خواهد بود. جزییات بیشتر در مورد به‌روزرسانی‌های جدید PHP در لینک‌های زیر قابل دسترس و مطالعه است:

این هفته نیز مشابه چند هفته گذشته، شرکت سیسکو یکی از عرضه‌کنندگان اصلاحیه‌های امنیتی بود. اصلاحیه‌های جدید این شرکت، آسیب‌پذیری‌هایی از نوع اجرای کد به‌صورت از راه دور (Remote Code Execution)، از کاراندازی سرویس (Denial-of-Service) و ترفیع امتیازی (Privilege Escalation) را در برخی محصولات سیسکو ترمیم می‌کنند. فهرست این اصلاحیه‌ها بشرح زیر است:

چهارشنبه، ۱۲ اردیبهشت ماه، شرکت مایکروسافت نیز، اصلاحیه‌ای اضطراری را بر وصله نمودن یک ضعف امنیتی حیاتی در بخش Windows Host Compute Service Shim سیستم عامل Windows ارائه کرد. بهره‌جویی از این ضعف امنیتی به مهاجم امکان خواهد داد تا کد مخرب مورد نظر خود را به صورت از راه دور و بدون نیاز به هر گونه دخالت کاربر بر روی دستگاه با سیستم عامل آسیب‌پذیر به اجرا در آورد. توضیحات بیشتر در مورد این ضعف و اصلاحیه عرضه شده برای آن در لینک زیر قابل دریافت و مطالعه است:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8115

همچنین در این هفته، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در خبری به بررسی آسیب‌پذیری با شناسه CVE-2018-9995 در برخی تجهیزات موسوم به Digital Video Recorder – به اختصار DVR – پرداخت. این مرکز اعلام کرده “برندهای آسیب‌پذیر خوشبختانه در کشور ما رایج نیستند با این وجود لازم است با توجه به آسیب‌پذیری‌های جدی اکثر انواع دوربین‌های تحت شبکه، از در دسترس قراردادن این تجهیزات در اینترنت خودداری نمود. در غیر اینصورت لازم است دسترسی به واسط وب این سامانه‌ها صرفا به آدرس‌های IP مشخص محدود گردد.” مشروح خبر مرکز ماهر در لینک زیر قابل دسترس است: