شرکت مایکروسافت در روز سه‌شنبه ۹ ژانویه ۲۰۲۴ ( ۱۹ دی ماه ۱۴۰۲) اصلاحیه‌های امنیتی ماهانه خود را منتشر کرد. در این اصلاحیه مجموعا ۴۹ نقص و ۱۲ آسیب‌پذیری اجرای کد از راه دور (RCE) وصله شده است.

جزئیات آسیب‌پذیری

در اصلاحیه‌های این ماه، مایکروسافت تنها دو نقص امنیتی را به عنوان “حیاتی” رتبه‌بندی کرده است که یکی از آنها آسیب‌پذیری عبور از راهکارهای امنیتی Windows Kerberos با شناسه CVE-2024-20674 و دیگری آسیب‌پذیری اجرای کد از راه دور Windows Hyper-V با شناسه CVE-2024-20700 است.

 تعداد باگ‌ها در هر رده از آسیب‌پذیری‌ها به تفکیک به شرح زیر است:

• ۱۰ افزایش آسیب‌پذیری ارتقا سطح دسترسی
•  ۷ آسیب‌پذیری عبور از راهکارهای امنیتی
• ۱۲ آسیب‌پذیری اجرای کد از راه دور
• ۱۱ آسیب‌پذیری افشای اطلاعات
• ۶ آسیب‌پذیری منع سرویس
• ۳ آسیب‌پذیری جعل

 تعداد کل ۴۹ آسیب‌پذیری، شامل ۴ نقص Microsoft Edge که در ۵ ژانویه برطرف شده‌اند، نمی‌باشد.

 جهت کسب اطلاعات بیشتر و دریافت و نصب وصله‌های امنیتی ارائه شده ماه ژانویه، به سایت مایکروسافت مراجعه کنید. 

آسیب‌پذیری‌های قابل توجه

در اصلاحیه‌های این ماه هیچ نقصی که مورد سوء استفاده فعال یا افشای عمومی قرار گرفته باشد، وجود نداشت. با این حال از جمله نقص‌های قابل توجه می‌توان به موارد زیر اشاره کرد:

[CVE-2024-20674]

آسیب‌پذیری حیاتی Windows Kerberos با شناسه CVE-2024-20674 و امتیاز CVSS: 9.0، که به مهاجم اجازه می‌دهد ویژگی احراز هویت را دور بزند نیز برطرف شد.

بنابر گفته مایکروسافت:‌ “نفوذگر احراز هویت نشده با انجام یک حمله machine-in-the-middle (MITM) یا دیگر تکنیک‌های جعل شبکه محلی می‌تواند از این آسیب‌پذیری سوء استفاده کند، سپس یک پیام مخرب Kerberos را به دستگاه کاربر قربانی ارسال کند تا خود را به عنوان سرور احراز هویت Kerberos جعل کند.”

 به دلیل وجود Keberos در چندین سیستم عامل محبوب، مایکروسافت این آسیب‌پذیری را “احتمال بیشتری” برای سوء استفاده می‌داند.

[CVE-2024-20677]

مایکروسافت یک آسیب‌پذیری اجرای کد از راه دور آفیس با شناسه CVE-2024-20677 و امتیاز 7.8 :CVSS را برطرف کرد که امکان ایجاد اسناد آفیس با فایل‌های تعبیه‌ شده مدل&nbs