مایکروسافت روز سهشنبه ۱۱ می ۲۰۲۱ بهروزرسانی امنیتی ماهانه برنامهریزیشدهی خود را با وصلههایی برای ۵۵ نقص امنیتی که روی ویندوز، Exchange Server ، Internet Explorer ، Office ، Hyper-V ، Visual Studio و Skype تأثیر میگذارند، ارائه داد[۱].
از این ۵۵ اشکال، چهار مورد در دستهبندی حیاتی، ۵۰ مورد در دستهبندی مهم و یک مورد با شدت متوسط تقسیمبندی شدند. سه مورد از این آسیبپذیریها بهصورت عمومی شناختهشدهاند، اگرچه برخلاف ماه گذشته[۲]، هیچیک از آنها در زمان انتشار تحت بهرهبرداری فعال قرار نداشتند.
مهمترین نقص موردبررسی CVE-2021-31166 است[۳]، یک آسیبپذیری اجرای کد از راه دور wormable در stack پروتکل HTTP. مسئلهای که میتواند به یک مهاجم غیرمجاز اجازه ارسال یک بسته ویژه ساختهشده به یک سرور مورد هدف را دهد و دارای امتیاز ۹٫۸ از حداکثر ۱۰ امتیاز در مقیاس CVSS است.
یکی دیگر از آسیبپذیریهای موردتوجه، نقص در اجرای کد از راه دور در Hyper-V با نام CVE-2021-28476 است[۴] که همچنین با امتیاز ۹٫۹ در مقیاسCVSS بالاترین شدت را در میان تمام نقصهای اصلاحشده در این ماه کسب میکند[۵].
مایکروسافت در گزارش خود دراینباره گفت: “این مسئله به یک ماشین مجازی مهمان اجازه میدهد تا هسته میزبان Hyper-V را مجبور کند از یک آدرس دلخواه و بالقوه نامعتبر بخواند. محتویات آدرس خواندهشده به ماشین مجازی مهمان برنمیگردد. در بیشتر شرایط، به دلیل خواندن آدرس بدون نقشه، میزبان Hyper-V (خطای کنترل) منجر به یک حملهی DoS میشود.”
سازنده ویندوز خاطرنشان کرد: “میتوان از یک حافظهی map شدهی رجیستری دستگاه مربوط به یک دستگاه سختافزاری متصل به میزبان Hyper-V خواند که ممکن است باعث ایجاد عوارض جانبی خاص دستگاه سختافزاری شود که میتواند امنیت میزبان Hyper-V را به خطر بیندازد.”
علاوه بر این، این بهروزرسانیها یک نقص فساد حافظه موتور اسکریپت در اینترنت اکسپلورر (CVE-2021-26419) و چهار نقطهضعف در Microsoft Exchange Server را برطرف میکنند[۶]، این سومین ماه متوالی است که مایکروسافت از زمان ظهور بهرهبردارهای ProxyLogon برای این محصول اصلاحاتی منتشر کرده است [۷].
- CVE-2021-31207(CVSS score: 6.6) – Security Feature Bypass Vulnerability (publicly known)
- CVE-2021-31195(CVSS score: 6.5) – Remote Code Execution Vulnerability
- CVE-2021-31198(CVSS score: 7.8) – Remote Code Execution Vulnerability
- CVE-2021-31209(CVSS score: 6.5) – Spoofing Vulnerability
درحالیکه CVE-2021-31207 و CVE-2021-31209 در مسابقه Pwn2Own 2021 اثبات شدند[۸]، Orange Tsai از DEVCORE، که آسیبپذیری ProxyLogon Exchange Server را فاش کرد، اعتبار گزارش CVE-2021-31195 را دریافت کرد.
در جای دیگر، بهروزرسانیها یک خطاهای تشدید امتیاز در Windows Manager Container Manager، آسیبپذیری افشای اطلاعات در شبکه بیسیم ویندوز و چندین نقص در اجرای کد از راه دور در مایکروسافت آفیس،Microsoft SharePoint Server ، Skype for Business،Lync ، Visual Studio وWindows Media Foundation Core را برطرف کردند.
برای نصب این آخرین بهروزرسانیهای امنیتی، کاربران ویندوز میتوانند به آدرس زیر مراجعه کنند.
Start > Settings > Update & Security > Windows Update
منابع
[۱] https://msrc.microsoft.com/update-guide/releaseNote/2021-May
[۲] https://thehackernews.com/2021/04/nsa-discovers-new-vulnerabilities.html
[۳] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31166
[۴] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28476
[۶] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26419
[۷] https://thehackernews.com/2021/03/microsoft-issues-security-patches-for.html
[۸] https://thehackernews.com/2021/04/windows-ubuntu-zoom-safari-ms-exchange.html
[۹] https://thehackernews.com/2021/05/latest-microsoft-windows-updates-patch.html
ثبت ديدگاه