رفع 5 آسیب‌پذیری روز صفر توسط شرکت ماکروسافت

رفع 5 آسیب‌پذیری روز صفر توسط شرکت ماکروسافت

تاریخ ایجاد

شرکت مایکروسافت 63 آسیب‌پذیری که به طور گسترده مورد بهره برداری قرارگرفته‌اند را معرفی کرد. از بین این 63 مورد، 3 مورد آن بحرانی(Critical)، ۵۶ مورد مهم (Important) و ۴ مورد دیگر نیز متوسط (Moderate) رتبه‌بندی شده‌ است. شایان ذکر است که از این بین، 5 مورد آن‌ها آسیب‌پذیری روز صفر اعلام شده است که اطلاعات آن‌ها به شرح زیر ارائه می‌شود:

1. CVE-2023-36025: آسیب‌پذیری دور زدن بررسی‌های امنیتی Windows Defender SmartScreen  ویندوز با شدت 8.8 که در سال ۲۰۲۳ به طور گسترده مورد بهره‌برداری قرار گرفت.
2. CVE-2023-36033: آسیب‌پذیری ارتقاء سطح دسترسی در کتابخانه هسته DWM ویندوز با شدت7.8؛ این آسیب‌پذیری می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
3. CVE-2023-36036: آسیب‌پذیری ارتقاء سطح دسترسی درایور Mini Filter فایل‌های ابری ویندوز با شدت 7.8؛ این آسیب‌پذیری نیز می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
4. CVE-2023-36038: آسیب‌پذیری باشدت 8.2 در ASP.NET Core که مهاجم ازاین طریق می‌تواند منجر به حمله انکار سرویس شود.
5.CVE-2023-36413 : آسیب‌پذیری دور زدن بررسی‌های امنیتی Microsoft Office با شدت 6.5

شایان ذکر است که آسیب‌پذیری با شناسه CVE-2022-44698 و شدت 5.4 در ماه دسامبر توسط ماکروسافت رفع شد، همچنین آسیب‌پذیری باشناسه‌هایCVE-2023-24880  (شدت 5.1) نیز در ماه مارس و CVE-2023-32049  (شدت 8.8 ) در ماه جولای رفع شدند. شرکت مایکروسافت دو آسیب‌پذیری با شناسه‌های CVE-2023-36028 و CVE-2023-36397 را نیز در Protected Extensible Authentication Protocol و Pragmatic General Multicast  رفع کرده است که امکان اجرای کد مخرب از راه دور را برای مهاجم فراهم می‌آورند.
به‌روزرسانی که اخیرأ منتشر شده است شامل یک وصله امنیتی برای آسیب‌پذیری با شناسه CVE-2023-38545  و شدت 9.8  می‌باشد که مربوط به یک نقص امنیتی در curl library است. همچنین یک آسیب‌پذیری افشای اطلاعات با شناسه CVE-2023-36052 و شدت 8.6  در Azure CLI  وجود دارد که مهاجم می‌تواند از طریق دستیابی به فایل‌های log ، رمز عبور و نام کاربری کاربران را بازیابی کند.

منبع خبر:


https://thehackernews.com/2023/11/alert-microsoft-releases-patch-updates.html