شرکت مایکروسافت (Microsoft Corp)، در روز سهشنبه، ۱۹ اسفند، مجموعهاصلاحیههای امنیتی ماهانه خود را برای ماه میلادی مارس، منتشر کرد.
اصلاحیههای مذکور در مجموع ۸۲ آسیبپذیری را در Windows و محصولات و اجزای نرمافزاری زیر ترمیم میکنند:
Azure
HEVC Video Extensions
Internet Explorer
Microsoft ۳۶۵ Apps for Enterprise
Microsoft Business Productivity Servers
Microsoft Edge
Microsoft Excel
Microsoft Office
Microsoft PowerPoint
Microsoft Quantum Development Kit for Visual Studio Code
Microsoft SharePoint
Microsoft Visio
Microsoft Visual Studio
Power BI Report Server
Visual Studio
به گزارش مرکز مدیریت راهبردی افتا٬ درجه اهمیت ۱۰ مورد از این آسیبپذیریها “حیاتی” (Critical) و ۷۲ مورد “مهم” (Important) اعلام شده است.
دو مورد از آسیبپذیریهای ترمیم شده توسط این اصلاحیهها، روز-صفر (Zero-day) بوده و جزییات آنها پیشتر بهصورت عمومی منتشر شده بود. فهرست این آسیبپذیریهای روز-صفر به شرح زیر است:
همچنین چندین آسیبپذیری در سرویس DNS سیستم عامل Windows توسط اصلاحیههای این ماه ترمیم شدهاند. CVE-۲۰۲۱-۲۶۸۷۷، CVE-۲۰۲۱-۲۶۸۹۳، CVE-۲۰۲۱-۲۶۸۹۴، CVE-۲۰۲۱-۲۶۸۹۵ و CVE-۲۰۲۱-۲۶۸۹۷ در دسته از RCE و CVE-۲۰۲۱-۲۷۰۶۳ و CVE-۲۰۲۱-۲۶۸۹۶ در دسته آسیبپذیریهای Denial of Service (از کاراندازی سرویس) قرار میگیرند.
لازم به ذکر است که شرکت مایکروسافت ۱۲ اسفند ماه با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری بحرانی روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرد. جزییات بیشتر در خصوص این بهروزرسانیها در لینکهای زیر قابل مطالعه است:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۹۷۹/
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۰۲۲/
بهروزرسانیهای ۱۲ اسفند علاوه بر موارد بالا سه آسیبپذیری زیر را نیز که همگی از نوع RCE (اجرای کد به صورت از راه دور) هستند در Microsoft Exchange ترمیم میکنند:
فهرست کامل آسیبپذیریهای ترمیم شده توسط مجموعهاصلاحیههای مارس ۲۰۲۱ مایکروسافت در جدول زیر قابل دریافت و مطالعه است.
محصول | شناسه CVE | شرح آسیبپذیری | شدت حساسیت |
Application Virtualization | CVE-۲۰۲۱-۲۶۸۹۰ | Application Virtualization Remote Code Execution Vulnerability | مهم |
Azure | CVE-۲۰۲۱-۲۷۰۷۵ | Azure Virtual Machine Information Disclosure Vulnerability | مهم |
Azure Sphere | CVE-۲۰۲۱-۲۷۰۷۴ | Azure Sphere Unsigned Code Execution Vulnerability | حیاتی |
Azure Sphere | CVE-۲۰۲۱-۲۷۰۸۰ | Azure Sphere Unsigned Code Execution Vulnerability | حیاتی |
Internet Explorer | CVE-۲۰۲۱-۲۷۰۸۵ | Internet Explorer Remote Code Execution Vulnerability | مهم |
Internet Explorer | CVE-۲۰۲۱-۲۶۴۱۱ | Internet Explorer Memory Corruption Vulnerability | حیاتی |
Microsoft ActiveX | CVE-۲۰۲۱-۲۶۸۶۹ | Windows ActiveX Installer Service Information Disclosure Vulnerability | مهم |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۳ | Chromium CVE-۲۰۲۱-۲۱۱۷۳: Side-channel information leakage in Network Internals | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۲ | Chromium CVE-۲۰۲۱-۲۱۱۷۲: Insufficient policy enforcement in File System API | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۹ | Chromium CVE-۲۰۲۱-۲۱۱۶۹: Out of bounds memory access in V۸ | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۰ | Chromium CVE-۲۰۲۱-۲۱۱۷۰: Incorrect security UI in Loader | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۱ | Chromium CVE-۲۰۲۱-۲۱۱۷۱: Incorrect security UI in TabStrip and Navigation | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۵ | Chromium CVE-۲۰۲۱-۲۱۱۷۵: Inappropriate implementation in Site isolation | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۶ | Chromium CVE-۲۰۲۱-۲۱۱۷۶: Inappropriate implementation in full screen mode | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۷ | Chromium CVE-۲۰۲۱-۲۱۱۷۷: Insufficient policy enforcement in Autofill | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۴ | Chromium CVE-۲۰۲۱-۲۱۱۷۴: Inappropriate implementation in Referrer | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۸ | Chromium CVE-۲۰۲۱-۲۱۱۷۸ : Inappropriate implementation in Compositing | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۱ | Chromium CVE-۲۰۲۱-۲۱۱۶۱: Heap buffer overflow in TabStrip | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۲ | Chromium CVE-۲۰۲۱-۲۱۱۶۲: Use after free in WebRTC | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۰ | Chromium CVE-۲۰۲۱-۲۱۱۶۰: Heap buffer overflow in WebAudio | – |
Microsoft Edge on Chromium | CVE-۲۰۲۰-۲۷۸۴۴ | Chromium CVE-۲۰۲۰-۲۷۸۴۴: Heap buffer overflow in OpenJPEG | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۵۹ | Chromium CVE-۲۰۲۱-۲۱۱۵۹: Heap buffer overflow in TabStrip | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۳ | Chromium CVE-۲۰۲۱-۲۱۱۶۳: Insufficient data validation in Reader Mode | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۷ | Chromium CVE-۲۰۲۱-۲۱۱۶۷: Use after free in bookmarks | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۸ | Chromium CVE-۲۰۲۱-۲۱۱۶۸: Insufficient policy enforcement in appcache | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۶ | Chromium CVE-۲۰۲۱-۲۱۱۶۶: Object lifecycle issue in audio | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۴ | Chromium CVE-۲۰۲۱-۲۱۱۶۴: Insufficient data validation in Chrome for iOS | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۶۵ | Chromium CVE-۲۰۲۱-۲۱۱۶۵: Object lifecycle issue in audio | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۹ | Chromium CVE-۲۰۲۱-۲۱۱۸۹: Insufficient policy enforcement in payments | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۱ | Chromium CVE-۲۰۲۱-۲۱۱۸۱: Side-channel information leakage in autofill | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۶ | Chromium CVE-۲۰۲۱-۲۱۱۸۶: Insufficient policy enforcement in QR scanning | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۹۰ | Chromium CVE-۲۰۲۱-۲۱۱۹۰ : Uninitialized Use in PDFium | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۳ | Chromium CVE-۲۰۲۱-۲۱۱۸۳: Inappropriate implementation in performance APIs | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۵ | Chromium CVE-۲۰۲۱-۲۱۱۸۵: Insufficient policy enforcement in extensions | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۷ | Chromium CVE-۲۰۲۱-۲۱۱۸۷: Insufficient data validation in URL formatting | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۲ | Chromium CVE-۲۰۲۱-۲۱۱۸۲: Insufficient policy enforcement in navigations | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۰ | Chromium CVE-۲۰۲۱-۲۱۱۸۰: Use after free in tab search | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۴ | Chromium CVE-۲۰۲۱-۲۱۱۸۴: Inappropriate implementation in performance APIs | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۷۹ | Chromium CVE-۲۰۲۱-۲۱۱۷۹: Use after free in Network Internals | – |
Microsoft Edge on Chromium | CVE-۲۰۲۱-۲۱۱۸۸ | Chromium CVE-۲۰۲۱-۲۱۱۸۸: Use after free in Blink | – |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۶۴۱۲ | Microsoft Exchange Server Remote Code Execution Vulnerability | حیاتی |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۷۰۶۵ | Microsoft Exchange Server Remote Code Execution Vulnerability | حیاتی |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۷۰۷۸ | Microsoft Exchange Server Remote Code Execution Vulnerability | مهم |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۶۸۵۴ | Microsoft Exchange Server Remote Code Execution Vulnerability | مهم |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۶۸۵۷ | Microsoft Exchange Server Remote Code Execution Vulnerability | حیاتی |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۶۸۵۵ | Microsoft Exchange Server Remote Code Execution Vulnerability | حیاتی |
Microsoft Exchange Server | CVE-۲۰۲۱-۲۶۸۵۸ | Microsoft Exchange Server Remote Code Execution Vulnerability | مهم |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۶۸۶۳ | Windows Win۳۲k Elevation of Privilege Vulnerability | مهم |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۷۰۷۷ | Windows Win۳۲k Elevation of Privilege Vulnerability | مهم |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۶۸۶۱ | Windows Graphics Component Remote Code Execution Vulnerability | مهم |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۶۸۷۶ | OpenType Font Parsing Remote Code Execution Vulnerability | حیاتی |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۶۸۷۵ | Windows Win۳۲k Elevation of Privilege Vulnerability | مهم |
Microsoft Graphics Component | CVE-۲۰۲۱-۲۶۸۶۸ | Windows Graphics Component Elevation of Privilege Vulnerability | مهم |
Microsoft Office | CVE-۲۰۲۱-۲۴۱۰۸ | Microsoft Office Remote Code Execution Vulnerability | مهم |
Microsoft Office | CVE-۲۰۲۱-۲۷۰۵۸ | Microsoft Office ClickToRun Remote Code Execution Vulnerability | مهم |
Microsoft Office | CVE-۲۰۲۱-۲۷۰۵۹ | Microsoft Office Remote Code Execution Vulnerability | مهم |
Microsoft Office Excel | CVE-۲۰۲۱-۲۷۰۵۳ | Microsoft Excel Remote Code Execution Vulnerability | مهم |
Microsoft Office Excel | CVE-۲۰۲۱-۲۷۰۵۴ | Microsoft Excel Remote Code Execution Vulnerability | مهم |
Microsoft Office Excel | CVE-۲۰۲۱-۲۷۰۵۷ | Microsoft Office Remote Code Execution Vulnerability | مهم |
Microsoft Office PowerPoint | CVE-۲۰۲۱-۲۷۰۵۶ | Microsoft PowerPoint Remote Code Execution Vulnerability | مهم |
Microsoft Office SharePoint | CVE-۲۰۲۱-۲۷۰۵۲ | Microsoft SharePoint Server Information Disclosure Vulnerability | مهم |
Microsoft Office SharePoint | CVE-۲۰۲۱-۲۴۱۰۴ | Microsoft SharePoint Spoofing Vulnerability | مهم |
Microsoft Office SharePoint | CVE-۲۰۲۱-۲۷۰۷۶ | Microsoft SharePoint Server Remote Code Execution Vulnerability | مهم |
Microsoft Office Visio | CVE-۲۰۲۱-۲۷۰۵۵ | Microsoft Visio Security Feature Bypass Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۵۰ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۴۹ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۶۸۸۴ | Windows Media Photo Codec Information Disclosure Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۵۱ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۶۲ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۴۱۱۰ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۴۰۸۹ | HEVC Video Extensions Remote Code Execution Vulnerability | حیاتی |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۶۱ | HEVC Video Extensions Remote Code Execution Vulnerability | حیاتی |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۴۸ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۷۰۴۷ | HEVC Video Extensions Remote Code Execution Vulnerability | مهم |
Microsoft Windows Codecs Library | CVE-۲۰۲۱-۲۶۹۰۲ | HEVC Video Extensions Remote Code Execution Vulnerability | حیاتی |
Power BI | CVE-۲۰۲۱-۲۶۸۵۹ | Microsoft Power BI Information Disclosure Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۷۰۶۳ | Windows DNS Server Denial of Service Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۹۳ | Windows DNS Server Remote Code Execution Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۹۷ | Windows DNS Server Remote Code Execution Vulnerability | حیاتی |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۹۴ | Windows DNS Server Remote Code Execution Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۹۵ | Windows DNS Server Remote Code Execution Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۹۶ | Windows DNS Server Denial of Service Vulnerability | مهم |
Role: DNS Server | CVE-۲۰۲۱-۲۶۸۷۷ | Windows DNS Server Remote Code Execution Vulnerability | مهم |
Role: Hyper-V | CVE-۲۰۲۱-۲۶۸۶۷ | Windows Hyper-V Remote Code Execution Vulnerability | حیاتی |
Role: Hyper-V | CVE-۲۰۲۱-۲۶۸۷۹ | Windows NAT Denial of Service Vulnerability | مهم |
Visual Studio | CVE-۲۰۲۱-۲۷۰۸۴ | Visual Studio Code Java Extension Pack Remote Code Execution Vulnerability | مهم |
Visual Studio | CVE-۲۰۲۱-۲۱۳۰۰ | Git for Visual Studio Remote Code Execution Vulnerability | حیاتی |
Visual Studio Code | CVE-۲۰۲۱-۲۷۰۶۰ | Visual Studio Code Remote Code Execution Vulnerability | مهم |
Visual Studio Code | CVE-۲۰۲۱-۲۷۰۸۱ | Visual Studio Code ESLint Extension Remote Code Execution Vulnerability | مهم |
Visual Studio Code | CVE-۲۰۲۱-۲۷۰۸۳ | Remote Development Extension for Visual Studio Code Remote Code Execution Vulnerability | مهم |
Visual Studio Code | CVE-۲۰۲۱-۲۷۰۸۲ | Quantum Development Kit for Visual Studio Code Remote Code Execution Vulnerability | مهم |
Windows Admin Center | CVE-۲۰۲۱-۲۷۰۶۶ | Windows Admin Center Security Feature Bypass Vulnerability | مهم |
Windows Container Execution Agent | CVE-۲۰۲۱-۲۶۸۹۱ | Windows Container Execution Agent Elevation of Privilege Vulnerability | مهم |
Windows Container Execution Agent | CVE-۲۰۲۱-۲۶۸۶۵ | Windows Container Execution Agent Elevation of Privilege Vulnerability | مهم |
Windows DirectX | CVE-۲۰۲۱-۲۴۰۹۵ | DirectX Elevation of Privilege Vulnerability | مهم |
Windows Error Reporting | CVE-۲۰۲۱-۲۴۰۹۰ | Windows Error Reporting Elevation of Privilege Vulnerability | مهم |
Windows Event Tracing | CVE-۲۰۲۱-۲۴۱۰۷ | Windows Event Tracing Information Disclosure Vulnerability | مهم |
Windows Event Tracing | CVE-۲۰۲۱-۲۶۸۷۲ | Windows Event Tracing Elevation of Privilege Vulnerability | مهم |
Windows Event Tracing | CVE-۲۰۲۱-۲۶۹۰۱ | Windows Event Tracing Elevation of Privilege Vulnerability | مهم |
Windows Event Tracing | CVE-۲۰۲۱-۲۶۸۹۸ | Windows Event Tracing Elevation of Privilege Vulnerability | مهم |
Windows Extensible Firmware Interface | CVE-۲۰۲۱-۲۶۸۹۲ | Windows Extensible Firmware Interface Security Feature Bypass Vulnerability | مهم |
Windows Folder Redirection | CVE-۲۰۲۱-۲۶۸۸۷ | Microsoft Windows Folder Redirection Elevation of Privilege Vulnerability | مهم |
Windows Installer | CVE-۲۰۲۱-۲۶۸۶۲ | Windows Installer Elevation of Privilege Vulnerability | مهم |
Windows Media | CVE-۲۰۲۱-۲۶۸۸۱ | Microsoft Windows Media Foundation Remote Code Execution Vulnerability | مهم |
Windows Overlay Filter | CVE-۲۰۲۱-۲۶۸۷۴ | Windows Overlay Filter Elevation of Privilege Vulnerability | مهم |
Windows Overlay Filter | CVE-۲۰۲۱-۲۶۸۶۰ | Windows App-V Overlay Filter Elevation of Privilege Vulnerability | مهم |
Windows Print Spooler Components | CVE-۲۰۲۱-۱۶۴۰ | Windows Print Spooler Elevation of Privilege Vulnerability | مهم |
Windows Print Spooler Components | CVE-۲۰۲۱-۲۶۸۷۸ | Windows Print Spooler Elevation of Privilege Vulnerability | مهم |
Windows Projected File System Filter Driver | CVE-۲۰۲۱-۲۶۸۷۰ | Windows Projected File System Elevation of Privilege Vulnerability | مهم |
Windows Registry | CVE-۲۰۲۱-۲۶۸۶۴ | Windows Virtual Registry Provider Elevation of Privilege Vulnerability | مهم |
Windows Remote Access API | CVE-۲۰۲۱-۲۶۸۸۲ | Remote Access API Elevation of Privilege Vulnerability | مهم |
Windows Storage Spaces Controller | CVE-۲۰۲۱-۲۶۸۸۰ | Storage Spaces Controller Elevation of Privilege Vulnerability | مهم |
Windows Update Assistant | CVE-۲۰۲۱-۲۷۰۷۰ | Windows ۱۰ Update Assistant Elevation of Privilege Vulnerability | مهم |
Windows Update Stack | CVE-۲۰۲۱-۱۷۲۹ | Windows Update Stack Setup Elevation of Privilege Vulnerability | مهم |
Windows Update Stack | CVE-۲۰۲۱-۲۶۸۸۹ | Windows Update Stack Elevation of Privilege Vulnerability | مهم |
Windows Update Stack | CVE-۲۰۲۱-۲۶۸۶۶ | Windows Update Service Elevation of Privilege Vulnerability | مهم |
Windows UPnP Device Host | CVE-۲۰۲۱-۲۶۸۹۹ | Windows UPnP Device Host Elevation of Privilege Vulnerability | مهم |
Windows User Profile Service | CVE-۲۰۲۱-۲۶۸۷۳ | Windows User Profile Service Elevation of Privilege Vulnerability | مهم |
Windows User Profile Service | CVE-۲۰۲۱-۲۶۸۸۶ | User Profile Service Denial of Service Vulnerability | مهم |
Windows WalletService | CVE-۲۰۲۱-۲۶۸۷۱ | Windows WalletService Elevation of Privilege Vulnerability | مهم |
Windows WalletService | CVE-۲۰۲۱-۲۶۸۸۵ | Windows WalletService Elevation of Privilege Vulnerability | مهم |
Windows Win۳۲K | CVE-۲۰۲۱-۲۶۹۰۰ | Windows Win۳۲k Elevation of Privilege Vulnerability | مهم |
(با تشکر از شرکت مهندسی شبکهگستر برای همکاری در تهیه این گزارش)
دیدگاه شما