شرکت مایکروسافت در روز سه‌شنبه ۱۲ دسامبر ۲۰۲۳ ( ۲۲ آذر ماه ۱۴۰۲) اصلاحیه‌های امنیتی ماهانه خود را منتشر کرد. در این اصلاحیه مجموعا ۳۴ نقص از جمله یک نقص روز صفر وصله شده‌اند.

جزئیات آسیب‌پذیری

در حالی که ۸ باگ اجرای کد از راه دور (RCE) برطرف شد، مایکروسافت تنها ۳ آسیب‌پذیری را با عنوان «مهم» رتبه‌بندی کرد. در مجموع، چهار آسیب‌پذیری حیاتی وجود داشت که یکی در پلتفرم Power (جعل)، دو آسیب‌پذیری در اشتراک‌گذاری اتصال به اینترنت (RCE) و دیگری در پلتفرم MSHTML ویندوز (RCE) بود. تعداد باگ‌ها در هر رده از آسیب‌پذیری‌ها به تفکیک به شرح زیر است:

۱۰ آسیب‌پذیری ارتقا سطح دسترسی
۸ آسیب‌پذیری اجرای کد از راه دور
۶ آسیب‌پذیری افشای اطلاعات
۵ آسیب‌پذیری منع سرویس
۵ آسیب‌پذیری جعل

 تعداد کل ۳۴ نقص نام‌برده شده، شامل ۸ نقص مایکروسافت Edge که در ۷ دسامبر برطرف شده، نمی‌باشد.

جهت کسب اطلاعات بیشتر و دریافت و نصب وصله‌های امنیتی ارائه شده ماه دسامبر، به سایت مایکروسافت مراجعه کنید.

آسیب‌پذیری‌ روز صفر

یک روز صفر که به طور عمومی فاش شده بود، وصله شد: پچ سه‌شنبه این ماه یک آسیب‌پذیری روز صفر AMD را که در ماه آگوست فاش شده بود و قبلاً وصله نشده بود، برطرف می‌کند.

[CVE-2023-20588] 

آسیب‌پذیری AMD Speculative Leaks با شناسه CVE-2023-20588 یک باگ division-by-zero در پردازنده‌های خاص AMD است که به طور بالقوه می‌تواند داده‌های حساس را برگرداند.

این نقص در آگوست 2023 فاش شد که AMD هیچ راه‌ حل دیگری به جز توصیه‌های کاهش‌ دهنده ارائه نکرده بود.

در بولتن AMD در CVE-2023-20588 آمده است: “برای نسخه‌های آسیب دیده، AMD توصیه می‌کند بهترین شیوه‌های توسعه نرم‌افزار را دنبال کنید. AMD معتقد است که تأثیر بالقوه این آسیب پذیری کم است زیرا به دسترسی محلی نیاز دارد.”
مایکروسافت به عنوان بخشی از به‌ روزرسانی‌های وصله سه‌شنبه ۱۲ دسامبر ۲۰۲۳، یک به‌روزرسانی امنیتی منتشر کرده است که آسیب‌پذیری مذکور را در پردازنده‌های آسیب‌ دیده AMD برطرف می‌سازد.

توصیه می‌شود در اسرع وقت اقدام به دانلود و نصب وصله‌های امنیتی ماه دسامبر کنید.

جزئیات مرتبط با آسیب‌پذیری‌های ارائه شده در جدول زیر قابل مشاهده است: