آسیب‌ پذیری مایکروسافت

خانه آگاهی‌رسانی امنیتی اخبار آسیب‌پذیری آسیب‌ پذیری های اخیر مایکروسافت
Microsoft Updates May 2022
تعداد بازدید: 122

به روزرسانی ماه می مایکروسافت

در به روزرسانی ماه می مایکروسافت، ۷۳ آسیب پذیری در ۱۵ دسته در محصولات این شرکت برطرف شده است. این آسیب پذیری‌ها از نوع:

  • افزایش سطح دسترسی  (Elevation of Privilege)
  • افشای اطلاعات   (Information Disclosure)
  • جعل (Spoofing)
  • انکار سرویس (Denial Of Service)
  • اجرای کد از راه دور (Remote Code Execution)
  • و دور زدن راهکارهای امنیتی (Security Feature Bypass)

می‌باشند.

درجه اهمیت اکثر آسیب‌پذیری‌های برطرف شده در به روزرسانی ماه می مایکروسافت بحرانی و برخی از آن‌ها مهم هستند. اخبار آسیب‌پذیری‌های مایکروسافت را می‌توانید از طریق آرمان داده پویان دنبال کنید.

Severity: Critical

  • شماره‌های مرجع:

CVE-2022-29107CVE-2022-29109CVE-2022-29110

  • امتیاز CVSS:

Base 4.6 / Temporal 3.4

  • تاثیر:

یک مهاجم با سواستفاده از این آسیب‌پذیری‌ها می‌تواند کدهای مورد نظرش را از راه دور بر روی سیستم قربانی اجرا کند.

این به روزرسانی‌ها شامل موارد زیر می‌شود:

KB5002199
KB5002204
KB5002187
KB4484347
KB5002196
KB5002205
KB4493152
KB5002184

  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر می‌توانید آن‌ها را دریافت کنید.

Microsoft office April 2022

Severity: Critical

  • شماره مرجع:

    CVE-2022-29108

    امتیاز CVSS:

    Base 7.5 / Temporal 5.5

    تاثیر:

    یک مهاجم با سوءاستفاده از این آسیب پذیری می‌تواند کدهای مورد نظرش را از راه دور بر روی سیستم قربانی اجرا کند.

    راهکار:

    نصب وصله‌های امنیتی که از پیوند زیر می‌توانید آن‌ها را دریافت کنید:

    https://portal.msrc.microsoft.com/en-us/security-guidance

Severity: Critical

مایکروسافت  در این به روزرسانی آسیب‌ پذیری‌های متعددی را در Microsoft Windows برطرف کرد.

  • شماره‌های مرجع:

CVE-2022-21972CVE-2022-22011CVE-2022-22012CVE-2022-22013CVE-2022-22014CVE-2022-22015CVE-2022-22016CVE-2022-22019CVE-2022-22713CVE-2022-23270CVE-2022-23279CVE-2022-24466CVE-2022-26913CVE-2022-26923CVE-2022-26925CVE-2022-26926CVE-2022-26927CVE-2022-26930CVE-2022-26931CVE-2022-26933CVE-2022-26934CVE-2022-26935CVE-2022-26936CVE-2022-29103CVE-2022-29104CVE-2022-29105CVE-2022-29112CVE-2022-29113CVE-2022-29114CVE-2022-29115CVE-2022-29121CVE-2022-29125CVE-2022-29126CVE-2022-29127CVE-2022-29128CVE-2022-29129CVE-2022-29130CVE-2022-29131CVE-2022-29132CVE-2022-29137CVE-2022-29139CVE-2022-29140CVE-2022-29141CVE-2022-29142

  • امتیاز CVSS:
  • Base 10 / Temporal 7.4
  • تاثیر:
  • اکسپلویت این آسیب‌پذیری‌ها محرمانگی، دسترس‌پذیری و جامعیت اطلاعات کاربر را به خطر می‌اندازد.
  • راهکار: نصب به روزرسانی‌های امنیتی

نصب وصله‌های امنیتی که از طریق پیوند زیر قابل دریافت است:

۵۰۱۳۹۴۱
۵۰۱۳۹۴۲
۵۰۱۳۹۴۳
۵۰۱۳۹۴۴
۵۰۱۳۹۴۵
۵۰۱۳۹۵۲
۵۰۱۳۹۶۳
۵۰۱۳۹۹۹
۵۰۱۴۰۰۱
۵۰۱۴۰۰۶
۵۰۱۴۰۱۰
۵۰۱۴۰۱۱
۵۰۱۴۰۱۲
۵۰۱۴۰۱۷
۵۰۱۴۰۱۸
۵۰۱۴۰۲۵

Severity: Critical

  • شماره‌های مرجع:
  • CVE-2022-21978
  • امتیاز CVSS:
  • Base 5.2 / Temporal 3.8
  • تاثیر:
  • یک مهاجم با سواستفاده از این آسیب پذیری می‌تواند سطح دسترسی‌اش را افزایش دهد.
  • نسخه‌های زیر آسیب پذیر هستند:Microsoft Exchange Server 2013 Cumulative Update 23
    Microsoft Exchange Server 2019 Cumulative Update 11
    Microsoft Exchange Server 2019 Cumulative Update 12
    Microsoft Exchange Server 2016 Cumulative Update 23
    Microsoft Exchange Server 2016 Cumulative Update 22
  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت هستند:

https://www.microsoft.com/en-us/download/details.aspx?id=104209

https://www.microsoft.com/en-us/download/details.aspx?id=104205

Severity: Critical

مهاجم با اکسپلویت این آسیب پذیری محرمانگی، جامعیت و دسترس پذیری سیستم را تحت تاثیر قرار می‌دهد.

نسخه‌های زیر آسیب پذیر هستند:

KB5014001-6.3.9600.20369
KB5014011-6.3.9600.20369
KB5014017-6.2.9200.23711
KB5014018-6.2.9200.23711

  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت هست:

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013941-os-build-17763-2928-e84332a3-42bb-4d3c-9f6e-89db963230db

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013942-os-builds-19042-1706-19043-1706-and-19044-1706-60b51119-85be-4a34-9e21-8954f6749504

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013944-os-build-20348-707-05509703-187a-4d5b-97f5-8793dbb22991

https://support.microsoft.com/en-us/topic/may-10-2022-kb5013952-os-build-14393-5125-0bb9f7e6-0360-4162-8eab-108e28d3a090

https://support.microsoft.com/en-us/topic/may-10-2022-kb5014011-monthly-rollup-73d94574-c6a2-436c-b935-dc07af430dea

https://support.microsoft.com/en-us/topic/may-10-2022-kb5014011-monthly-rollup-73d94574-c6a2-436c-b935-dc07af430dea

https://support.microsoft.com/en-us/topic/may-10-2022-kb5014017-monthly-rollup-4175cf06-bdf4-42b2-b87d-f6961b85d81d

https://support.microsoft.com/en-us/topic/may-10-2022-kb5014018-security-only-update-dfbbfa9c-2034-48bc-9a13-177a06be0217

Severity: Critical

  • شماره‌های مرجع:
  • CVE-2022-26937
  • امتیاز CVSS:
  • Base 10 / Temporal 7.4
  • تاثیر:
  • اکسپلویت این آسیب‌پذیری به مهاجم اجازه اجرای کدهای مورد نظرش از راه دور را می‌دهد. برای این کار باید یک پیغام آلوده NFS protocol network ارسال کند.
  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت می‌باشد:

CVE-2022-26937

Severity: Critical

  • شماره‌های مرجع:
  • CVE-2022-22017CVE-2022-26940
  • امتیاز CVSS:
  • Base 10 / Temporal 7.4
  • تاثیر:
  • پس از اتصال، سرور مخرب می‌تواند کدی را در سیستم قربانی اجرا کند.
  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت است:
CVE-2022-22017
CVE-2022-26940

Severity: Critical

  • شماره‌های مرجع:
  • CVE-2022-29116CVE-2022-29133
  • امتیاز CVSS:
  • Base 6.8 / Temporal 5.3
  • تاثیر:
  • مهاجم با اکسپلویت این آسیب پذیری محرمانگی، جامعیت و دسترس پذیری سیستم را تحت تاثیر قرار می‌دهد.
  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت است:
https://www.qualys.com/research/security-alerts/2022-05-10/microsoft/crosoft.com/en-in/help/5013943

severity: Serious

  • شماره‌های مرجع:
  • CVE-2022-30129
  • امتیاز CVSS:
  • Base 4.6 / Temporal 3.4
  • تاثیر:

Visual Studio Code یک ابزار قدرتمند و سبک برای ویرایش کد می‌باشد. این ابزار بر روی دسکتاپ راه اندازی می‌شود و برای ویندوز، لینوکس و macOS موجود است.

نسخه‌های قبل از Visual Studio Code 1.67.1 تحت تاثیر این آسیب پذیری هستند.

  • راهکار:

نصب وصله‌های امنیتی که از پیوند زیر می‌توانید آن‌ها را دریافت کنید:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30129

severity: Serious

  • شماره‌های مرجع:
  • CVE-2022-23267CVE-2022-29117CVE-2022-29145
  • امتیاز CVSS
  • Base 7.8 / Temporal 6.4
  • تاثیر:
  • نسخه‌های Microsoft Visual Studio 2019 16.9,2022 17.0 و ۲۰۲۲ ۱۷٫۱ در معرض حملات انکار سرویس هستند.
  • راهکار:
  • نصب وصله‌های امنیتی که از پیوند زیر می‌توانید آن‌ها را دریافت کنید:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23267https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29117https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29145https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29148

severity: Serious

  • شماره‌های مرجع: 
  • CVE-2022-23267CVE-2022-29117CVE-2022-29145
  • امتیاز CVSS:
  • Base 7.8 / Temporal 6.4
  • تاثیر:
  • این آسیب‌پذیری نسخه‌های .NET زیر را تحت تاثیر قرار می‌دهد:
    NET 5.0 before version 5.0.17
    NET 6.0 before version 6.0.5
    NET Core 3.1 before version 3.1.25

اکسپلیوت این آسیب‌پذیری به مهاجم اجازه اجرای حملات انکار سرویس را می‌دهد.

  • راهکار:

نصب وصله‌های امنیتی که از طریق پیوند زیر قابل دریافت است:
CVE-2022-23267
CVE-2022-29117
CVE-2022-29145

severity: Serious

  • شماره‌های مرجع:
  • CVE-2022-29106
  • امتیاز CVSS:
  • Base 6 / Temporal 4.4
  • تاثیر: مهاجم با اکسپلویت این آسیب پذیری محرمانگی، جامعیت و دسترس پذیری سیستم را تحت تاثیر قرار می‌دهد.
  • راهکار: نصب وصله‌های امنیتی که از طریق پیوند زیر قابل دریافت است:

۵۰۱۳۹۴۱
۵۰۱۳۹۴۲
۵۰۱۳۹۴۴
۵۰۱۳۹۵۲

severity: Serious

  • شماره‌های مرجع:
  • CVE-2022-30130
  • امتیاز CVSS:
  • Base 2.1 / Temporal 1.6
  • تاثیر: اجرای حملات انکار سرویس با استفاده از ضعف امنیتی در Microsoft .Net Framework
  • راهکار: نصب وصله‌های امنیتی که آن‌ها را می‎توانید از پیوند زیر دریافت کنید:

CVE-2022-30130

severity: Serious

  • شماره‌های مرجع:
  • CVE-2022-29148
  • امتیاز CVSS:
  • Base 6.8 / Temporal 5.6
  • تاثیر: نسخه‌های Microsoft Visual Studio 2017 تا ۲۰۱۹ آسیب پذیر هستند. (نسخه‌های ۱۵٫۰ تا ۱۵٫۸) مهاجم با سواستفاده از ضعف امنیتی این نسخه‌ها می‌تواند کدهای مورد نظرش را از راه دور اجرا کند.
  • راهکار: نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت می‌باشند:

CVE-2022-29148

severity: Serious

  • شماره‌های مرجع:

CVE-2022-26932CVE-2022-26938CVE-2022-26939

  • امتیاز CVSS:
  • Base 6.5 / Temporal 4.8
  • تاثیر:
  • مهاجم با اکسپلویت این آسیب پذیری محرمانگی، جامعیت و دسترس پذیری سیستم را تحت تاثیر قرار می‌دهد.
  • راهکار: نصب وصله‌های امنیتی که از پیوند زیر قابل دریافت است:
  • KB5013941
    KB5013942
    KB5013944
    KB5013952