وجود یک نقص امنیتی که به تازگی اصلاحشده در محصولات دات نت و ویژوال استودیو باعث شد تا مایکروسافت به کاتالوگ آسیبپذیریهای مورد سوءاستفاده شناخته شده (KEV) اضافه شود. برای این منظور به شواهدی مبنی بر بهرهبرداری فعال از این آسیب پذیری استناد شده است. این نقص با شدت بالا که بهعنوان CVE-2023-38180 ردیابی میشود (امتیاز CVSS: 7.5)، مربوط به یک مورد منع سرویس (DoS) است کهNET. و ویژوال استودیو را تحت تأثیر قرار میدهد. جزئیات دقیق مربوط به ماهیت بهره برداری این آسیبپذیری نامشخص است. سازنده ویندوز وجود یک اثبات مفهوم (PoC) را در توصیهنامه خود تصدیق کرده است. همچنین گفته است که حملاتی که از این نقص استفاده میکنند را میتوان بدون هیچگونه امتیاز اضافی یا تعامل کاربر انجام داد.
این شرکت گفت: «کد سوءاستفاده اثبات مفهومی در دسترس است، یا نمایش حمله برای اکثر سیستمها عملی نیست. این کد یا تکنیک در همه موقعیت ها کاربردی نیست و ممکن است نیاز به اصلاح اساسی توسط یک مهاجم ماهر داشته باشد».
نسخههای تحت تأثیر این نرم افزار عبارتند از ASP.NET Core 2.1، .NET 6.0، .NET 7.0، Microsoft Visual Studio 2022 نسخه 17.2، Microsoft Visual Studio 2022 نسخه 17.4 و Microsoft Visual Studio 2022 نسخه 17.6. برای کاهش خطرات احتمالی، CISA به آژانسهای شعبه اجرایی غیرنظامی فدرال(FCEB) توصیه کرده است تا 30 آگوست 2023 اصلاحات ارائه شده توسط مایکروسافت را برای آسیبپذیری اعمال کنند.
منبع
- 84