اصلاحیه‌های عرضه شده در دومین هفته بهمن ماه

کمیته رکن چهارم – در دومین هفته از بهمن ماه ۱۳۹۷، شرکت‌های موزیلا و گوگل اقدام به عرضه اصلاحیه و توصیه‌نامه امنیتی برای برخی از محصولات خود کردند.

در این هفته، شرکت موزیلا، با ارائه به‌روزرسانی، چندین آسیب‌پذیری را که درجه اهمیت برخی از آنها “حیاتی” (Critical) اعلام شده، در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. سوءاستفاده از برخی از ضعف‌های مذکور به مهاجم امکان می‌دهد تا به‌صورت از راه دور کنترل دستگاه آسیب‌پذیر را در اختیار بگیرد. جزییات بیشتر در لینک‌های زیر قابل مطالعه است:

• https://www.mozilla.org/en-US/security/advisories/mfsa2019-01/
• https://www.mozilla.org/en-US/security/advisories/mfsa2019-03/

سه‌شنبه، ۹ بهمن ماه نیز گوگل نسخه ۷۲٫۰٫۳۶۲۶٫۸۱ مرورگر Chrome را منتشر کرد. نسخه جدید، ضعف‌هایی را در این مرورگر ترمیم می‌کند که بهره‌جویی از یکی از آنها مهاجم را قادر به اجرای کد مورد نظر خود بر روی دستگاه حاوی نسخه آسیب‌پذیر Chrome می‌سازد. توضیحات بیشتر در مورد نسخه ۷۲٫۰٫۳۶۲۶٫۸۱ مرورگر Chrome از طریق لینک زیر قابل دریافت است:

• https://chromereleases.googleblog.com/2019/01/stable-channel-update-for-desktop.html

همچنین با توجه به انتشار عمومی جزییات یک آسیب‌پذیری روز صفر در نرم‌افزار Exchange و با توجه به عدم عرضه اصلاحیه‌ای برای ترمیم آن توسط شرکت مایکروسافت – حداقل تا زمان نگارش این خبر –، در این هفته مرکز هماهنگی گروه‌های پاسخ‌گویی حوادث رایانه‌ای آمریکا اقدام به ارائه یک توصیه‌نامه به‌منظور پوشش موقت آسیب‌پذیری مذکور نمود. این آسیب‌پذیری که از نوع “ترفیع امتیازی” (Privilege Escalation) است و در نسخه ۲۰۱۳ و نسخه‌های بعد از آن در نرم‌افزار Exchange گزارش شده مهاجم را قادر به ارتقای سطح دسترسی خود به‌صورت از راه دور بر روی سرور می‌کند. توصیه‌نامه ارائه شده در لینک زیر قابل دریافت و مطالعه است:

• https://www.kb.cert.org/vuls/id/465632/

در این هفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور نیز با انتشار مطلبی نسبت به استفاده از نسخه‌های تاریخ‌گذشته‌ PHP در سامانه مدیریت محتوای WordPress هشدار داد که مشروح آن در لینک زیر قابل دسترس می‌باشد:

• https://cert.ir/news/12634