اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی ژوئن

کمیته رکن چهارم – سه‌شنبه، ۲۲ خرداد ماه، شرکت مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی ژوئن منتشر کرد.

این اصلاحیه‌ها در مجموع، ۱۱ آسیب‌پذیری “حیاتی” (Critical) و ۳۹ آسیب‌پذیری “بااهمیت” (Important) را در سیستم عامل Windows و بخش‌ها و محصولات زیر ترمیم می‌کنند:

Internet Explorer
Microsoft Edge
ChakraCore JavaScript Engine
Microsoft Office
Microsoft Office Services and Web Apps

در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، حیاتی تلقی شده و اصلاحیه‌هایی که این نوع نقاط ضعف را ترمیم می‌کنند، بالاترین درجه اهمیت یا “حیاتی” را دریافت می‌نمایند. نقاط ضعفی که سوءاستفاده موفق از آنها نیازمند فریب کاربر به انجام کاری باشد یا نیازمند دسترسی فیزیکی به دستگاه هدف باشد، توسط اصلاحیه‌هایی با درجه اهمیت “بااهمیت” برطرف و ترمیم می‌گردند.

CVE-2018-8267 تنها آسیب‌پذیری ترمیم شده در این ماه است که جزییات آن پیش‌تر به‌طور عمومی اعلام شده بود. مهاجم با بهره‌جویی از این آسیب‌پذیری در بخش Scripting Engine در مرورگر Internet Explorer قادر به اجرای کد به‌صورت از راه دور بر روی دستگاه قربانی خواهد بود.

برخی محققان ضعف امنیتی CVE-2018-8225 را حیاتی‌ترین آسیب‌پذیری ترمیم شده این ماه می‌دانند. این آسیب‌پذیری ناشی از روش پردازش درخواست‌های DNS در سیستم عامل Windows است که امکان ارسال پاسخ‌های دستکاری شده توسط یک سرور DNS تحت کنترل مهاجم را فراهم می‌کند.

خوشبختانه تا زمان نگارش این خبر بهره‌جویی از هیچ یک از آسیب پذیری‌های ترمیم شده، حداقل به‌صورت عمومی، گزارش نشده است.

همچنین به همراه اصلاحیه‌های ماه ژوئن، شرکت مایکروسافت اقدام به انتشار توصیه‌نامه‌ای با شناسه KB4338110 نموده که در آن به نحوه ایمن‌سازی کدهای برنامه در برابر حملات مبتنی بر Cipher-Block-Chaining پرداخته شده است. در صورت آسیب‌پذیر بودن یک برنامه به این گونه حملات، مهاجم قادر به دست‌درازی به داده‌های رمز شده بدون نیاز به در اختیار داشتن کلید رمزگذاری خواهد بود.

همچون ماه‌های قبل، یکی از اصلاحیه‌های ماهانه مایکروسافت نقاط ضعف نرم‌افزار Adobe Flash Player را که در نسخه‌های جدیدتر مرورگرهای مایکروسافت گنجانده شده، در این مرورگرها اصلاح و برطرف می‌کند.

جدول زیر فهرست اصلاحیه‌های عرضه شده مایکروسافت در ماه میلادی ژوئن را نمایش می‌دهد.

محصول	شناسه CVE	شرح آسیب‌پذیری ترمیم شده
Adobe Flash Player	ADV180014	اصلاحیه‌های ماه ژوئن شرکت Adobe برای نرم‌افزار Flash Player؛ این اصلاحیه‌ها نقاط ضعف نرم‌افزار Adobe Flash Player را که در نسخه‌های جدیدتر مرورگرهای مایکروسافت گنجانده شده، اصلاح و برطرف می‌کنند.
Microsoft Office	ADV180015	به‌روزرسانی برای بهبود امنیت بخش Office Art در مجموعه نرم‌افزاری Microsoft Office
Device Guard	CVE-2018-8215	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8212	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8211	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8221	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8217	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8216	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Device Guard	CVE-2018-8201	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
HID Parser Library	CVE-2018-8169	آسیب‌پذیری به حملات ترفیع امتیازی
Internet Explorer	CVE-2018-0978	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Internet Explorer	CVE-2018-8113	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Internet Explorer	CVE-2018-8249	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Edge	CVE-2018-8110	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Edge	CVE-2018-8111	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Edge	CVE-2018-8236	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Edge	CVE-2018-8235	آسیب‌پذیری به حملات عبور از سد تنظیمات امنیتی
Microsoft Edge	CVE-2018-0871	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Edge	CVE-2018-8234	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft NTFS	CVE-2018-1036	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Office	CVE-2018-8246	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Office	CVE-2018-8247	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Office	CVE-2018-8244	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Office	CVE-2018-8245	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Office	CVE-2018-8254	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Office	CVE-2018-8248	آسیب‌پذیری به حملات اجرای از راه دور کد
Microsoft Office	CVE-2018-8252	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Scripting Engine	CVE-2018-8229	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2018-8227	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2018-8267	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Scripting Engine	CVE-2018-8243	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Windows	CVE-2018-8175	آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft Windows	CVE-2018-1040	آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft Windows	CVE-2018-8251	آسیب‌پذیری به حملات ایجاد اختلال در حافظه
Microsoft Windows	CVE-2018-0982	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2018-8208	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2018-8209	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Windows	CVE-2018-8214	آسیب‌پذیری به حملات ترفیع امتیازی
Microsoft Windows	CVE-2018-8210	آسیب‌پذیری به حملات اجرای از راه دور کد
Microsoft Windows	CVE-2018-8213	آسیب‌پذیری به حملات اجرای از راه دور کد
Microsoft Windows	CVE-2018-8205	آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft Windows	CVE-2018-8231	آسیب‌پذیری به حملات اجرای از راه دور کد
Microsoft Windows	CVE-2018-8239	آسیب‌پذیری به حملات نشت اطلاعات
Microsoft Windows	CVE-2018-8226	آسیب‌پذیری به حملات از کاراندازی سرویس
Microsoft Windows	CVE-2018-8225	آسیب‌پذیری به حملات اجرای از راه دور کد
Windows Hyper-V	CVE-2018-8218	آسیب‌پذیری به حملات از کاراندازی سرویس
Windows Hyper-V	CVE-2018-8219	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Kernel	CVE-2018-8207	آسیب‌پذیری به حملات نشت اطلاعات
Windows Kernel	CVE-2018-8233	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Kernel	CVE-2018-8224	آسیب‌پذیری به حملات ترفیع امتیازی
Windows Kernel	CVE-2018-8121	آسیب‌پذیری به حملات نشت اطلاعات
Windows Shell	CVE-2018-8140	آسیب‌پذیری به حملات ترفیع امتیازی