Zero-Days برطرف شده در به روزرسانی ماه مارس مایکروسافت
سه Zero-Day در به روزرسانی ماه مارس مایکروسافت برطرف شده است.
- CVE-2022-21990 آسیب پذیری از نوع اجرای کد از راه دور که بر روی Remote Client Desktop تاثیر میگذارد.
- CVE-2022-24459 آسیب پذیری از نوع افزایش سطح دسترسی که بر روی Windows Fax و Scan Service اثر میگذارد.
- CVE-2022-24512 آسیب پذیری از نوع اجرای کد از راه دور که بر روی .Net و Visual Studio اثر میگذارد.
آسیبپذیریهای حیاتی برطرف شده در به روزرسانی ماه مارس مایکروسافت
به روزرسانی ماه مارس مایکروسافت برای اینترنت اکسپلورر (KB5011486)
Severity: Critical
مایکروسافت KB501148 را برای اینترنت اکسپلورر نسخه ۱۱ و ۹ عرضه کرده است.
- شمارههای مرجع:
CVE-2022-21977, CVE-2022-23283, CVE-2022-23285, CVE-2022-24502
- امتیاز CVSS:
Base 6.8 / Temporal 5
- تاثیر:
مهاجم در صورت موفقیت میتواند کدهای مورد نظرش را بر روی سیستم قربانی اجرا کند.
- نسخههای آسیبپذیر:
- اینترنت اکسپلورر ۱۱ روی ویندوز سرور ۲۰۱۲ R2، ویندوز ۸٫۱ و ویندوز سرور ۲۰۱۲
- ویندوز سرور ۲۰۰۸ R2 SP1
- و اینترنت اکسپلورر ۹ بر روی ویندوز سرور ۲۰۰۸
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید.
https://support.microsoft.com/en-us/help/5011486
به روزرسانی ماه مارس برای مایکروسافت آفیس
Severity: Critical
این به روزرسانی شامل موارد زیر میشود:
MacOS Release Notes
Office Click-2-Run and Office 365 Release Notes
KB5002068
KB5002139
- شمارههای مرجع:
CVE-2022-24461, CVE-2022-24462, CVE-2022-24509, CVE-2022-24510, CVE-2022-24511
- امتیاز CVSS:
Base 7.2 / Temporal 5.3
- تاثیر:
مهاجم با اکسپلویت این آسیبپذیری میتواند کدهای مورد نظرش را از راه دور اجرا نماید.
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید.
https://msrc.microsoft.com/update-guide/
به روزرسانی ماه مارس برای Microsoft Visual Studio Code
Severity: Critical
- شمارههای مرجع:
- امتیاز CVSS:
Base 5.5 / Temporal 4.5
- تاثیر:
مهاجم با اکسپلویت این آسیبپذیری میتواند حملات spoofing به راه بیندازد.
- نسخههای آسیبپذیر:
نسخه ۱٫۶۵٫۱ Visual Studio Code و ماقبل از آن
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24526
به روزرسانی ماه مارس برای Microsoft Exchange Server
Severity: Critical
- شمارههای مرجع: CVE-2022-23277, CVE-2022-24463
امتیاز CVSS: Base 10 / Temporal 7.4
- تاثیر:
مهاجم با اکسپلویت این آسیبپذیری میتواند کدهای مورد نظرش را از راه دور اجرا نماید.
- نسخههای آسیبپذیر:
Microsoft Exchange Server
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Microsoft Exchange Server 2019
Microsoft Exchange Server 2013
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
https://support.microsoft.com/help/5010324
https://support.microsoft.com/help/5012698
به روزرسانی ماه مارس برای Microsoft Windows Codecs Library
Severity: Critical
- شمارههای مرجع:
CVE-2022-22006, CVE-2022-22007, CVE-2022-23295, CVE-2022-23300, CVE-2022-23301, CVE-2022-24451, CVE-2022-24452, CVE-2022-24453, CVE-2022-24456, CVE-2022-24457, CVE-2022-24501
- امتیاز CVSS:
Base 7.2 / Temporal 5.3
- تاثیر:
اجرای کدهای مورد نظر مهاجم
- نسخههای آسیبپذیر:
HEIFImageExtension نسخههای قبل از ۱٫۰٫۴۳۰۱۲٫۰
VP9VideoExtensions نسخههای قبل از ۱٫۰٫۴۲۷۹۱٫۰
RawImageExtension نسخههای قبل از ۲٫۱٫۳۰۳۹۱٫۰
HEVCVideoExtension نسخههای قبل از ۱٫۰٫۵۰۳۶۱٫۰ و ۱٫۰٫۵۰۳۶۲٫۰
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
CVE-2022-22006
CVE-2022-22007
CVE-2022-23295
CVE-2022-23300
CVE-2022-23301
CVE-2022-24451
CVE-2022-24452
CVE-2022-24453
CVE-2022-24456
CVE-2022-24457
CVE-2022-24501
به روزرسانی ماه مارس برای Microsoft Windows
Severity: Critical
- شمارههای مرجع:
CVE-2022-21975, CVE-2022-21977, CVE-2022-21990, CVE-2022-22010, CVE-2022-23253, CVE-2022-23281, CVE-2022-23283, CVE-2022-23284, CVE-2022-23285, CVE-2022-23286, CVE-2022-23287, CVE-2022-23288, CVE-2022-23290, CVE-2022-23291, CVE-2022-23293, CVE-2022-23294, CVE-2022-23296, CVE-2022-23297, CVE-2022-23298, CVE-2022-23299, CVE-2022-24454, CVE-2022-24455, CVE-2022-24459, CVE-2022-24460, CVE-2022-24502, CVE-2022-24503, CVE-2022-24505, CVE-2022-24507, CVE-2022-24508, CVE-2022-24525
- امتیاز CVSS:
Base 7.2 / Temporal 5.3
- تاثیر:
مهاجمان با اکسپلویت این آسیبپذیریها مثلث محرمانگی و انسجام اطلاعات قربانیان و همچنین دسترس پذیری سرویسهایشان را به مخاطره میاندازند.
- راهکار:
برای نصب وصلههای مورد نظر به پیوندهای زیر مراجعه کنید:
KB5011485
KB5011487
KB5011491
KB5011493
KB5011495
KB5011497
KB5011503
KB5011525
KB5011527
KB5011529
KB5011534
KB5011535
به روزرسانی ماه مارس برای برطرف کردن آسیبپذیری افزایش سطح دسترسی در Microsoft Windows
Severity: Critical
- شمارههای مرجع:
- امتیاز CVSS:
Base 6.2 / Temporal 4.6
- تاثیر:
مهاجمان با اکسپلویت این آسیبپذیریها مثلث محرمانگی و انسجام اطلاعات قربانیان و همچنین دسترس پذیری سرویسهایشان را به مخاطره میاندازند.
- راهکار:
برای نصب وصلههای مورد نظر به پیوندهای زیر مراجعه کنید:
KB5011485
KB5011487
KB5011491
KB5011493
KB5011495
KB5011503
به روزرسانی ماه مارس برای Microsoft Visual Studio
Severity: Critical
- شمارههای مرجع:
CVE-2020-9827, CVE-2022-24464, CVE-2022-24512
- امتیاز CVSS:
Base 5 / Temporal 3.7
- تاثیر:
اجرای کد از راه دور و راه اندازی حملات انکار سرویس
- نسخههای آسیبپذیر:
Microsoft Visual Studio 2019 نسخه ۱۶٫۷ شامل ( ۱۶٫۶ – ۱۶٫۰)
Microsoft Visual Studio 2019 نسخه ۱۶٫۹ شامل ( ۱۶٫۸ – ۱۶٫۰)
Microsoft Visual Studio 2019 نسخه ۱۶٫۱۱ شامل ( ۱۶٫۱۰ – ۱۶٫۰)
Microsoft Visual Studio 2017 Version 17.0 نسخه ۱۷٫۰
- راهکار:
برای نصب وصلههای مورد نظر به پیوندهای زیر مراجعه کنید:
CVE-2020-8927
CVE-2022-24464
VCE-2022-24512
به روزرسانی ماه مارس برای برطرف کردن آسیبپذیریهای متعدد در Remote Desktop
Severity: Critical
- شمارههای مرجع:
CVE-2022-21990, CVE-2022-24503
- امتیاز CVSS:
Base 7.5 / Temporal 5.9
- تاثیر:
مهاجمی که کنترل یک سرور Remote Desktop را در اختیار دارد، میتواند کدهای مورد نظرش را از راه دور بر روی سیستم کاربر اجرا کند. البته زمانی این کار قابل اجرا هست که سیستم کاربر آسیبپذیر باشد.
- نسخههای آسیبپذیر:
Remote Desktop Client نسخههای قبل از ۱٫۲٫۲۹۲۵
- راهکار:
برای نصب وصلههای مورد نظر به پیوندهای زیر مراجعه کنید:
Severity: Critical
آسیبپذیریهای مهم برطرف شده در به روزرسانی ماه مارس مایکروسافت
به روزرسانی ماه مارس مایکروسافت برای Microsoft Skype
severity: Serious
- به روزرسانی ماه مارس برای Microsoft Skype
این آسیبپذیری از نوع افشای اطلاعات بوده و در Skype Extension برای مرورگر کروم وجود دارد.
- شمارههای مرجع:
- امتیاز CVSS:
Base 7.1 / Temporal 5.3
- تاثیر:
مهاجم با اکسپلویت این آسیبپذیری میتواند به شناسه کابر دست یابد.
- نسخههای آسیبپذیر:
Skype Extension نسخههای قبل از ۱۰٫۲٫۰٫۹۹۵۱
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24522
به روزرسانی ماه مارس مایکروسافت برای Microsoft .NET
severity: Serious
- شمارههای مرجع:
CVE-2020-8927, CVE-2022-24464, CVE-2022-24512
- امتیاز CVSS:
Base 6.4 / Temporal 5.3
- تاثیر:
اجرای دستورات مورد نظر مهاجم و راه اندازی حملات انکار سرویس
- نسخههای آسیبپذیر:
.NET 5.0 نسخههای قبل از ۵٫۰٫۱۵
.NET 6.0 نسخههای قبل از ۶٫۰٫۳
.NET Core 3.1 نسخههای قبل از ۳٫۱٫۲۳
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-8927
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24464
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24512
به روزرسانی ماه مارس برای Microsoft Windows Media Center
severity: Serious
- شماره مرجع:
- امتیاز CVSS:
Base 4.9 / Temporal 3.6
- تاثیر:
راه اندازی حملات انکار سرویس
مهاجمان با اکسپلویت این آسیبپذیریها مثلث محرمانگی و انسجام اطلاعات قربانیان و همچنین دسترس پذیری سرویسهایشان را به مخاطره میاندازند.
- راهکار:
برای نصب وصلههای مورد نظر به پیوندهای زیر مراجعه کنید:
KB5011527
KB5011529
KB5011535
KB5011552
KB5011560
KB5011564
به روزرسانی ماه مارس مایکروسافت ماه مارس برای Microsoft Paint 3D
severity: Serious
- شمارههای مرجع:
- امتیاز CVSS:
Base 4.6 / Temporal 3.4
- تاثیر:
اجرای دستورات مهاجم از راه دور
- راهکار:
برای نصب وصلههای مورد نظر به پیوند زیر مراجعه کنید:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23282