فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «هشدارها و راهنمایی امنیتی»
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫سیسکو #‫به‌روزرسانی‌هایی را برای برخی محصولات خود منتشر کرده است. مهم‌ترین این آسیب‌پذیری‌ها مربوط به Smart Software Manager On-Perm است که امتیاز CVSS آن برابر با ا9.8 است. هفت آسیب‌پذیری با درجه اهمیت بالا و نه آسیب‌پذیری با درجه متوسط نیز وجود دارند. در ادامه به آسیب‌پذیری‌های بحرانی و مهم خواهیم پرداخت.

آسیب‌پذیری CVE-2020-3158 با درجه حساسیت 9.8
یک آسیب‌پذیری بحرانی در سرویس دسترس‌پذیری بالا (High Availability-HA) در Smart Software Manager On-Perm (با اسم سابق Cisco Smart Software Manager satellite) سیسکو وجود دارد. این آسیب‌پذیری به مهاجم احراز هویت نشده راه دور اجازه می‌دهد به بخش حساسی از سیستم دسترسی سطح بالا داشته باشد. علت این آسیب‌پذیری، وجود یک حساب کاربری سیستمی با گذرواژه پیش‌فرض و ثابت است. مهاجم می‌تواند با استفاده از این حساب به سیستم متصل شود و دسترسی خواندن و نوشتن داده‌های سیستم را کسب کند (از جمله داده‌های پیکربندی). مهاجم می‌تواند به بخش حساسی از سیستم دسترسی یابد اما دسترسی مدیریتی کامل برای کنترل تجهیز را نخواهد داشت.
این آسیب‌پذیری در Smart Software Manager On-Prem نسخه 7-202001 برطرف شده است. نسخه‌های ماقبل که ویژگی HA روی آنها فعال است آسیب‌پذیر هستند. این ویژگی به طور پیش‌فرض فعال نیست.
آسیب‌پذیری CVE-2019-16027 با درجه حساسیت 7.7
این آسیب‌پذیری مربوط به پروتکل مسیریابی IS-IS در نرم‌افزار Cisco IOS XR است که به مهاجم راه دور احراز هویت شده امکان ایجاد منع سرویس روی فرایند IS-IS را می‌دهد. ریشه این آسیب‌پذیری مدیریت نامناسب درخواست‌های SNMP توسط فرایند IS-IS است.
تجهیزاتی تحت تأثیر این آسیب‌پذیری هستند که نرم‌افزار IOS XR نسخه ماقبل 6.6.3، 7.0.2، 7.1.1 یا 7.2.1 را اجرا می‌کنند و پروتکل IS-IS و SNMP نسخه 1، 2c یا 3 روی آنها فعال است. این آسیب‌پذیری در نسخه‌های جدید رفع شده است، اما برای کاهش تأثیر آسیب‌پذیری می‌توان پروتکل SNMP را غیرفعال کرد یا با استفاده از لیست کنترل دسترسی، امکان استفاده از آن را به کلاینت‌های مطمئن محدود کرد.
آسیب‌پذیری CVE-2019-1888 با درجه حساسیت 7.2
آسیب‌پذیری نهفته در رابط وب Unified Contact Center Express (Unified CCX) سیسکو به مهاجم احراز هویت شده راه دور اجازه آپلود فایل و اجرای دستور با سطح دسترسی root را می‌دهد. برای بهره‌برداری از این آسیب‌پذیری مهاجم باید مشخصات یک کاربر سطح Administrator را داشته باشد. نسخه‌های ماقبل 12.5(1) آسیب‌پذیر هستند.
CVE-2019-1736 با درجه حساسیت 6.2
یک آسیب‌پذیری در ثابت‌افزار تجهیزات UCS C-Series Rack Servers سیسکو وجود دارد که به مهاجم احراز هویت شده فیزیکی اجازه می‌دهد تا اعتبارسنجی بوت امن (Secure Bot) را دور بزند و یک نرم‌افزار آسیب‌پذیر را روی تجهیز بارگذاری کند.
CVE-2019-1983 با درجه حساسیت 7.5
یک آسیب‌پذیری در Email Security Appliance (ESA) و Content Security Management Appliance (SMA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد.
CVE-2019-1947 با درجه حساسیت 8.6
یک آسیب‌پذیری در Email Security Appliance (ESA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را می‌دهد. این آسیب‌پذیری نسخه‌های 12.1.0-085 و 11.1.0-131 نرم‌افزار AsyncOS را در تجهیزات ESA تحت تأثیر قرار می‌دهد.
CVE-2020-3112 با درجه حساسیت 8.8
یک آسیب‌پذیری در REST API محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم راه دور احراز هویت شده امکان ارتقاء دسترسی را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.
CVE-2020-3114 با درجه حساسیت 8.8
یک آسیب‌پذیری در رابط مدیریتی وب محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم احراز هویت نشده راه دور امکان اجرای حمله اسکریپت جعلی بین سایتی (CSRF) را می‌دهد. این آسیب‌پذیری در نسخه‌های ماقبل 11.3(1) نرم‌افزار DNCM وجود دارد.

https://tools.cisco.com/security/center/publicationListing.x

7 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
700000 وب‌سایت در معرض خطر ناشی از وجود آسیب‌پذیری در افزونه‌ی GDPR Cookie Consent وردپرس

افزونه‌ی دیگری از #WordPress به لیست افزونه‌هایی که دارای نقص‌های امنیتی تهدیدآمیز هستند، پیوسته است. این بار، این آسیب‌پذیری در افزونه‌ی GDPR Cookie Consent ظاهر شده است و یکپارچگی 700000 وب سایت را به خطر انداخته است.
طبق گزارشات، محققی به نام Jerome Bruandet، یک آسیب‌پذیری جدی در افزونه‌ی GDPR Cookie Consent کشف کرده است. GDPR Cookie Consent به کاربران در ساخت سایت مطابق با GDPR کمک می‌کند. با در نظر گرفتن 700000 نصب از این افزونه، این نقص می‌تواند هزاران وب‌سایت را در معرض خطر قرار دهد.
این آسیب‌پذیری، یک نقص بحرانی تزریق اسکریپت مخرب در افزونه‌ی GDPR Cookie Consent است که ناشی از کنترل نامناسب دسترسی در نقطه‌پایانی (endpoint) استفاده‌شده در افزونه‌ی AJAX API (یک روش توسعه‌ی وب برای ساخت برنامه‌های کاربردی تحت وب) وردپرس است. نقطه‌پایانی، یک روش “-construct” درون افزونه است که برای کد مقداردهی اولیه‌ی اشیایی که به تازگی ایجاد شده‌اند، مورد استفاده قرار می‌گیرد. پس از آنکه فعالیت‌ها ایجاد شدند، از طریق AJAX به روش “-construct” ارسال می‌شود. این فرایند در پیاده‌سازی بررسی‌ها شکست می‌خورد. به همین دلیل، نقطه‌پایانی AJAX که به گونه‌ای در نظر گرفته شده است که تنها برای مدیران قابل دسترسی باشد، به کاربران سطح مشترک (یک نقش کاربر در وردپرس با قابلیت‌های بسیار محدود) نیز اجازه دهد تعدادی فعالیت که امنیت سایت را به مخاطره می‌اندازد، انجام دهند. روش “-construct”، سه مقدار متفاوت از AJAX API را می‌پذیرد. دو مقدار از آن‌ها، autosave_contant_data و save_contentdata هستند که می‌توانند توسط مهاجم از طریق این آسیب‌پذیری مورد سوءاستفاده قرار گیرند. روش save_contentdata به مدیران اجازه می‌دهد اعلان‌های کوکی را به عنوان یک نوع پست صفحه در پایگاه داده ذخیره سازد. اما از آنجاییکه این روش مورد بررسی قرار نگرفته است، یک کاربر یا مشترک احرازهویت‌شده می‌تواند هر صفحه یا پست موجود (یا کل وب‌سایت) را تغییر دهد و با تغییر وضعیت آن‌ها از «منتشرشده» به «پیش‌نویس»، آن‌ها را آفلاین کند. روش دیگر ، autosave_contant_data ، برای ذخیره‌ی صفحه‌ی اطلاعات کوکی GDPR در پس زمینه، در حالی که مدیر در حال ویرایش آن است، با ذخیره کردن داده‌ها در فیلد cli_pg_content_data پایگاه‌داده، بدون اعتبارسنجی استفاده می‌شود. عدم بررسی در این روش به کاربر معتبر احرازهویت‌شده اجازه می‌دهد کد جاوااسکریپت را به صفحه وب تزریق نماید. سپس این کد هر بار که شخصی به صفحه «http://example.com/cli-policy-preview/» مراجعه می‌کند، بارگیری و اجرا می‌شود.
این نقص از نظر شدت، بحرانی رتبه‌بندی شده است و دارای امتیاز CVSS 9.0 از 10 است.
تیم تحقیقاتی WordFence نیز وجود این نقص را پس از آنکه تیم توسعه‌ی این افزونه، آن را برطرف ساخت، تأیید کرده است.
Bruandet در تاریخ 28 ژانویه سال 2020، توسعه‌دهندگان این افزونه را از وجود آسیب‌‌پذیری در آن مطلع ساخت. نسخه‌های 1.8.2 و پیش از آن افزونه‌ی GDPR Cookie Consent، تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. توسعه‌دهندگان این افزونه، با انتشار نسخه‌ی 1.8.3، یک هفته پس از افشای این نقص، آن را وصله کرده‌اند. کاربران باید با به‌روزرسانی این افزونه به آخرین نسخه، مانع از سوءاستفاده‌های بالقوه شوند.

7 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫آسیب پذیری به شناسه CVE-2020-1600 در پروتکل مسیریابی Daemon (RPD) سیستم عامل Junos OS کشف شده است که به یک درخواست مخرب SNMP اجازه می دهد تا با ایجاد یک حلقه (loop) نامحدود منجر به افزایش مصرف CPU و در نتیجه حمله DoS و از کار افتادن دستگاه شود.
بهره برداری از این آسیب پذیری با هر دو نسخه IPv4 و IPv6 بسته درخواست SNMP قابل اجراست.
نسخه های آسیب پذیر Juniper Networks Junos OS:
• 12.3X48 versions prior to 12.3X48-D90;
• 15.1 versions prior to 15.1R7-S6;
• 15.1X49 versions prior to 15.1X49-D200;
• 15.1X53 versions prior to 15.1X53-D238, 15.1X53-D592;
• 16.1 versions prior to 16.1R7-S5;
• 16.2 versions prior to 16.2R2-S11;
• 17.1 versions prior to 17.1R3-S1;
• 17.2 versions prior to 17.2R3-S2;
• 17.3 versions prior to 17.3R3-S7;
• 17.4 versions prior to 17.4R2-S4, 17.4R3;
• 18.1 versions prior to 18.1R3-S5;
• 18.2 versions prior to 18.2R3;
• 18.2X75 versions prior to 18.2X75-D50;
• 18.3 versions prior to 18.3R2;
• 18.4 versions prior to 18.4R1-S6, 18.4R2;
• 19.1 versions prior to 19.1R2
شرکت Juniper به روز رسانی نسخه های آسیب پذیر را منتشر کرده است بنابراین به مدیران شبکه توصیه می شود این به روز رسانی را هرچه سریعتر انجام دهند.
منبع
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979&cat=SIRT_1&actp=LIST

7 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

به‌روزرسانی‌ امنیتی در ماه فوریه سال 2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی و مهم بوده است.
• Microsoft Edge (Edge HTML - based)
• Internet Explorer
• Windows
• Chakra Core

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

دانلود پیوست

26 بهمن 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

افزونه‌ی معروف #‫وردپرسی WPS Hide Login که بیش از 500 هزار نصب فعال دارد برای پنهان کردن صفحه ورود (Login) پیش فرض سایت‌های وردپرس (wp-login.php) استفاده می‌شود. با این حال یک آسیب‌پذیری در نسخه 1.5.4.2 این افزونه امکان بدست آوردن صفحه‌ی مخفی ورود سایت را برای مهاجم فراهم می‌کند. حساسیت این آسیب‌پذیری در آن است که مهاجم با یافتن صفحه Login با بکارگیری رشته آسیب‌پذیری‌های مختلف و یا حملات brute force می‌تواند وارد پنل مدیریت سایت شده و کنترل آن را بطور کامل به دست بگیرد.
1 درباره‌ی این آسیب‌پذیری
مطابق شکل زیر این افزونه در تابع plugins_loaded در متغیر محیطی REQUEST_URI با استفاده از تابع strpos به دنبال زیر رشته‌های مختلف می‌گردد.

شکل شماره 1: تابع plugins_loaded

به دلیل رمزگشایی نشدن بعضی از REQUEST_URIها با استفاده از تابع rawurldecode، مهاجم می‌تواند با encode کردن برخی رشته‌های درون URL کشف شدن صفحه ورود مخفی را پنهان کند. افزونه کاربر را به صفحه ورود مخفی هدایت می‌کند.

دانلود پیوست

23 بهمن 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫آسیبپذیری به شناسه CVE-2020-3940 در محصولات VMware Workspace ONE SDK و اپلیکیشن موبایل مربوط به آن(هم در اندروید و هم در iOS) کشف شده است که منجر به نشت اطلاعات مهم می شود.
مهاجم برای بهره برداری از این آسیب پذیری باید حمله Man-in-the-Middle انجام دهد یعنی در شبکه مورد نظر بین اپلیکیشن موبایلی آسیب پذیر و دستگاه Workspace ONE UEM قرار بگیرد و ترافیک های رد و بدل شده بین آن دو را شنود کند. مهاجم می تواند این کار را حتی وقتی SSL فعال است نیز انجام دهد و به اطلاعات حساس دسترسی پیدا کند.
محصولات آسیب پذیر:
• Workspace ONE SDK
• Workspace ONE Boxer
• Workspace ONE Content
• Workspace ONE SDK Plugin for Apache Cordova
• Workspace ONE Intelligent Hub
• Workspace ONE Notebook
• Workspace ONE People
• Workspace ONE PIV-D
• Workspace ONE Web
• Workspace ONE SDK Plugin for Xamarin
وصله این آسیب پذیری برای محصولات نام برده شده منتشر شده است:
• Workspace ONE SDK for Android  version 19.11.1
• Workspace ONE SDK for iOS  version 5.9.9.8
• Workspace ONE Boxer for Android  version 5.13.1
• Workspace ONE Content for Android  version 3.2.1
• Workspace ONE Content for iOS  version 4.2
• Workspace ONE SDK Plugin for Apache Cordova for Android & iOS  version 1.5.1
• Workspace ONE Intelligent Hub for Android  version 19.11.1
• Workspace ONE Notebook for Android  version 1.2.1
• Workspace ONE People for Android  version 1.3.2
• Workspace ONE PIV-D for Android  version 1.4.2
• Workspace ONE Web for Android  version 7.10.8
• Workspace ONE SDK Plugin for Xamarin for Android & iOs  version 1.4.1
به مدیران شبکه توصیه می شود این به روز رسانی را هر چه سریع تر انجام دهند.

23 بهمن 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی, اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می‌باشد که با توجه به پیشرفت روزافزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلفCisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت و رفع این آسیب‌پذیری‌ها می‌شوند. در این گزارش آسیب‌‎پذیری‌های با سطح (Critical) ارائه شده است. همچنین محصولاتی که دارای این آسیب‌پذیری‌ها هستند نیز مشخص شده است و با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیب‌پذیری و نحوه رفع آن داده شده است.

دانلود پیوست

8 بهمن 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

دانلود پیوست

7 بهمن 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب_پذیری درافزونه های Ultimate Addons for Beaver Builder و Ultimate Addons for Elementor در تاریخ 13 دسامبر 2019 انتشار یافت، که به نفوذگر این امکان را میدهد که به سادگی مکانیزم احراز هویت را در این دو افزونه پراستفاده دور بزند و امکان دسترسی administrative به وب سایت را بدون نیاز به گذرواژه داشته باشد. تاکنون اطلاعاتی درمورد شماره CVE این آسیب پذیری منتشر نشده است. نکته نگران کننده اینجا است که نفوذگران از دو روز قبل از انتشار آسیب پذیری اقدام به بهره برداری از این آسیب پذیری نموده و به منظور داشتن دسترسی بعدی از backdoor استفاده کردند. هر دو افزونه ساخته شرکت توسعه نرم افزار Brainstorm Force هستند که به مدیران وب سایت ها و طراحان با ابزار ها، ماژول ها و قالب های بیشتر کمک به توسعه وب سایت خود میکنند. این آسیب پذیری به شکلی عمل می کند که به دارندگان حساب wordpress هردو افزونه، این امکان را میدهد که از طریق مکانیزم ورود فیس بوک و گوگل خود را تایید اعتبار نمایند. به دلیل عدم بررسی روش احراز هویت در هنگام ورود کاربر از طریق فیس بوک یا گوگل ، افزونه های آسیب پذیر می توانند به کاربران مخرب اجازه دهند مانند هر کاربر دیگر حتی administratorsبدون نیاز به گذرواژه وارد سیستم شوند.

نسخه های آسیب پذیر :
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
راه حل :
شرکت توسعه دهنده، وصله های امنیتی برای این آسیب پذیری را به صورت زیر در دسترس قرار داده است. توصیه میشود این وصله ها در اسرع وقت نصب شوند.
Ultimate Addons for Elementor version 1.20.1
Ultimate Addons for Beaver Builder version 1.24.1


منبع :
https://thehackernews.com/2019/12/wordpress-elementor-beaver.html

1 دی 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

رفع دو #‫آسیب‌پذیری بحرانی در به‌روزرسانی ماه نوامبر 2019 مایکروسافت
#‫مایکروسافت برای محصولات مختلف خود به‌روزرسانی‌هایی را منتشر کرد که 36 آسیب‌پذیری را برطرف می‌کنند. از این تعداد، هفت آسیب‌پذیری بحرانی هستند. یکی از آسیب‌پذیری‌های مهم نیز مورد سوءاستفاده مهاجمان قرار گرفته است. نرم‌افزارهایی که برای آن‌ها به‌روزرسانی منتشر شده عبارت‌اند از:
ویندوز
Internet Explorer
Office و Office Services and Web Apps
SQL Server
Visual Studio
Skype for Business

آسیب‌پذیری‌های بحرانی
هفت مورد از آسیب‌پذیری‌ها بحرانی هستند، ازجمله:
CVE-2019-1468 نقصی از نوع اجرای کد از راه دور در کتابخانه فونت ویندوز است که به علت عدم مدیریت مناسبِ برخی فونت‌ها توسط این کتابخانه به وجود می‌آید. یک مهاجم می‌تواند به دو شکل از این آسیب‌پذیری بهره‌برداری کند:
در روش اول مهاجم یک فونت مخرب را به شکل توکار (embedded) در یک صفحه وب جاسازی می‌کند و با روش‌هایی مثل فیشینگ، قربانی را به بازدید از صفحه مخرب/هک شده وامی‌دارد. در روش دیگر، مهاجم یک فایل فونت مخرب را به قربانی می‌فرستد و هنگامی که قربانی آن را باز کند مورد حمله قرار می‌گیرد.
CVE-2019-1471 نیز از نوع اجرای کد از راه دور است و مجازی ساز Hyper-V را تحت تأثیر قرار می‌دهد. گاهی Hyper-V نمی‌تواند ورودی دریافتی از کاربر احراز هویت شده روی ماشین میهمان را به‌درستی اعتبارسنجی کند. درنتیجه مهاجم می‌تواند با اجرای کد مخرب روی ماشین میهمان، باعث اجرای کد روی ماشین میزبان شود.

آسیب‌پذیری‌های مهم
23 مورد از آسیب‌پذیری‌ها از رده «مهم» هستند که به سه مورد آن‌ها اشاره می‌کنیم:
CVE-2019-1458 یک نقص ارتقاء دسترسی است که در مؤلفه Win32k ویندوز قرار دارد. مهاجم ابتدا باید به سیستم لاگین کند. سپس با اجرای کد مخرب، دسترسی کاملی به سیستم می‌یابد و می‌تواند کد دلخواه خود را در حالت هسته (kernel mode) اجرا کند. این آسیب‌پذیری مورد بهره‌برداری قرار گرفته است.
CVE-2019-1469 یک آسیب‌پذیری از نوع افشای اطلاعات است. مهاجم می‌تواند با استفاده از آن به حافظه‌ای که مقداردهی اولیه نشده و به حافظه کرنل دسترسی یافته و از آن برای حملات دیگر استفاده کند.
CVE-2019-1485 از نوع ارتقاء دسترسی است که در موتور VBscript جای دارد. برای بهره‌برداری از این آسیب‌پذیری، لازم است که کاربر قربانی یک سایت مخرب را در Internet Explorer باز کند. سپس مهاجم می‌تواند در قالب کاربر فعلی سیستم، کد دلخواه خود را اجرا کند.
برای اعمال به‌روزرسانی‌ها روی دکمه Start ویندوز کلیک کنید، سپس روی دکمه Settings (آیکن چرخ‌دنده) کلیک کرده و گزینه Update & Security را انتخاب نمایید. از پنل سمت چپ روی Windows Update کلیک کنید و سپس روی دکمه Check for Updates کلیک کنید.


دانلود پیوست

30 آذر 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
صفحات: 1 2 3 4 5 ... » »»