کمیته رکن چهارم– مایکروسافت با انتشار یک بهروزرسانی امنیتی مهم، یکی از جدیترین آسیبپذیریهای ثبتشده در تاریخ پلتفرم .NET را برطرف کرد. این نقص، مهاجمان را قادر میساخت تا درخواستهای HTTP را دستکاری کرده و به اطلاعات حساس کاربران دسترسی یابند.
به گزارش کمیته رکن چهارم، آسیبپذیری یادشده با شناسه CVE-2025-55315 در وبسرور Kestrel شناسایی شده و از نوع حمله HTTP Request Smuggling است. این نقص به مهاجمان احراز هویتشده اجازه میدهد درخواستهای مخفیانهای به سرور ارسال کنند تا از کنترلهای امنیتی عبور کرده یا دادههای کاربران دیگر را مشاهده کنند.
مایکروسافت اعلام کرده است که در صورت سوءاستفاده از این آسیبپذیری، امکان مشاهده اعتبارنامههای کاربران (نقض محرمانگی)، تغییر محتوای فایلهای روی سرور (نقض یکپارچگی) و حتی از کار افتادن سرور (تأثیر بر دسترسپذیری) وجود دارد. به کاربران توصیه شده است که بهروزرسانیهای منتشرشده برای نسخههای .NET 8، ASP.NET Core 2.3 و بالاتر را نصب کرده و پس از آن سیستم یا برنامههای خود را مجدداً راهاندازی کنند.
در این بهروزرسانی، اصلاحات امنیتی برای Visual Studio 2022، بستههای Microsoft.AspNetCore.Server.Kestrel.Core و نسخههای ۲٫۳، ۸٫۰ و ۹٫۰ ASP.NET Core ارائه شده است. کارشناسان مایکروسافت هشدار دادهاند که شدت تأثیر این نقص به نحوه پیادهسازی برنامههای مبتنی بر ASP.NET بستگی دارد و در صورت بررسینشدن دقیق درخواستها، احتمال دور زدن سازوکارهای امنیتی وجود دارد.
مایکروسافت همچنین در بهروزرسانی ماه اکتبر خود، اصلاحیههایی برای ۱۷۲ آسیبپذیری منتشر کرده است که شامل هشت مورد بحرانی و شش نقص روز صفر میشود. سه مورد از این آسیبپذیریها در حملات واقعی مورد سوءاستفاده قرار گرفتهاند. همزمان، بسته امنیتی KB5066791 بهعنوان آخرین بهروزرسانی برای Windows 10 منتشر شده است؛ زیرا دوره پشتیبانی رسمی این سیستمعامل به پایان رسیده است.
