آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

مروری بر به‌روزرسانی‌های امنیتی نوامبر 2017

عنوانمروری بر به‌روزرسانی‌های امنیتی نوامبر 2017
گروه اصلیOther
شرح خبر

در نوامبر 2017 گروهی از وصله‌های امنیتی جدید توسط Microsoft و Adobe ارائه شده است و هنوز هیچ یک از باگ‌های ارائه شده از طریق MobilePwn2Own، وصله نشده است.


 

وصله‌های Adobe در نوامبر 2017

Adobe 9 بیانیه در ماه نوامبر منتشر کرده که در آن به 86 حفره امنیتی پرداخته است از جمله: Flash Player ( APSB1733)، Photoshop ( APSB1734)، Connect ( APSB1735)، Acrobat and Reader ( APSB1736)، DNG Convertor ( APSB1737)، InDesign ( APSB1738)، Digital Editions ( APSB1739)،Player ShockWave ( APSB1740)، و Experience Manager ( APSB1741).

کلیه بیانیه‌ها به استثنای نسخه به‌روزرسانی شده Experience Manager حداقل یک حفره امنیتی بحرانی دارند. در مجموع 70 حفره امنیتی بحرانی، 15 حفره امنیتی مهم و 1 حفره امنیتی با درصد اهمیت متوسط وجود دارد. Adobe در زمان انتشار، هیچ یک از این آسیب‌پذیری‌ها را با عنوان عموماً شناخته شده یا تحت حمله فعال معرفی نکرده است.

بزرگترین معضلات برای استقرار، به‌روزرسانی‌های FlashPlayer و Acrobat می‌باشند. وصله Flash Player سه خوانش‌ خارج از محدوده (OOB) و 2 مشکل UAF را اصلاح کرده است. چنانچه در ماه‌های اخیر مشاهده کردیم، از زمانی که Adobe نسخه Flash end-of-life را منتشر کرده، به‌روزرسانی‌ها کوچک هستند. به نظر می‌آید دوره‌ای که حجم زیادی از باگ‌های Flash به یک‌باره برطرف می‌شدند، به پایان رسیده است. این مساله در مورد Reader و Acrobat که 62 باگ در یک بروزرسانی گنجانده شده بود، صادق نیست. رایج‌ترین باگ‌ها در خوانش خارج از محدوده شناسایی شده است. اما در UAF ها، نوشتن خارج از محدوده، سرریز بافر، ابهام نوع و اشاره‌گر غیر قابل اعتماد نیز باگ‌هایی وجود داشته، که در این وصله برطرف شدند.

Adobe به‌روزرسانی‌های Flash، Reader و Shockwave را در اولویت 2 قرار داده، اما توصیه ما این است که با به‌روزرسانی‌های Flash و Reader مانند اولویت 1 برخورد شود. Flash یک هدف استقرار یافته در مقیاس وسیع است، و کمپین‌های فیشینگ اغلب از اسناد pdf مخرب استفاده می‌کنند. کلیه به‌روزرسانی‌های دیگر در سطح اولویت 3 لیست شده‌اند. 20% از این باگ‌ها (17 باگ از 86 باگ) از طریق برنامه ZDI وقوع یافتند.


 

وصله‌های Microsoft در نوامبر 2017

مایکروسافت 54 وصله امنیتی منتشر کرده که Internet Explorer (IE)، Microsoft Edge، Microsoft Windows، Microsoft Office، ASP.Net Core، .Net Core و Chakra Core را پوشش می‌دهند. از این 53 حفره امنیتی، 20 حفره امنیتی بحرانی، 31 حفره امنیتی مهم و 3 حفره امنیتی دارای اهمیت متوسط ذکر شدند. تعداد 6 حفره امنیتی توسط برنامه ZDI وقوع یافتند.

4 مورد از این آسیب‌پذیری‌ها با عنوان عموماً شناخته شده لیست شدند. هیچ یک از این حفره‌های امنیتی تحت حمله فعال ذکر نشده، اما از بیانیه‌ها این‌گونه به‌نظر می‌رسد که ممکن است عمداً ذکر نشده باشد.

مسلماً یک نسخه بدافزار در انتشار این ماه وجود دارد، همانگونه که بسیاری از به‌روزرسانی‌ها به تکنیک‌های مورد استفاده برای انتشار نرم‌افزار ناخواسته مرتبط می‌شود. در ادامه نگاهی دقیق‌تر به تعدادی از این معضلات که با توصیه‌های به‌نظر عجیب شروع شده‌اند، می‌پردازیم.

  • Microsoft Office Defense in Depth Update - ADV170020

Microsoft اطلاعات ارزشمندی در رابطه با این به‌روزرسانی منتشر نکرده و تنها به گفتن این‌که به معضل دفاع در عمق پرداخته، بسنده کرده است. در اینجا از واژه «معضل» استفاده کردیم، چون هیچ حفره امنیتی به این باگ اختصاص داده نشده است. به عنوان یک حدس، این احتمال وجود دارد که این توصیه مرتبط با تعداد بسیار زیاد بدافزارهایی باشد که پروتکل تبادل داده پویا (DDE) را مورد سوء استفاده قرار دادند. DDE تبادل داده بین Office و سایر برنامه‌های ویندوزی فراهم می‌آورد، اگرچه مهاجمین از فیلدهای DDE استفاده می‌کنند تا اسنادی به‌وجود آورند که منابع مخرب را از سرویس‌دهنده‌های خارجی بارگزاری کنند. مایکروسافت مدعی است اگرچه مهاجمین ممکن است از این امکان استفاده کنند، اما در حال حاضر این یک آسیب‌پذیری به شمار نمی‌آید. خوشبختانه، به‌روزرسانی فراهم شده استفاده از این امکان را به نوعی محدود کرده است. اگر نگران حملاتی هستید که از امکانات DDE استفاده می‌کنند، Microsoft دستورالعمل‌هایی در رابطه با چگونگی غیر فعال کردن DDE از رجیستری ارائه کرده است.

در صحبت از بدافزارها، این وصله، حفره امنیتی که به محافظ دستگاه این امکان را می‌دهد تا یک فایل غیر قابل اعتماد را، اشتباهاً تأیید اعتبار کند، اصلاح می‌نماید. این بدین معنی است که مهاجم می‌تواند کاری کند که یک فایل بدون امضا، امضا شده ظاهر شود. از آن‌جایی که محافظ دستگاه سنجش اعتماد را بر مبنای یک امضای معتبر و صحیح انجام می‌دهد، فایل‌های مخرب، می‌توانند با نشان‌دادن فایل‌های غیر قابل اعتماد به عنوان فایل‌های قابل اعتماد، اجرا شوند. این دقیقاً نوعی از بدافزار است که نویسندگان به دنبال آن هستند، چرا که به آن‌ها این امکان را می‌دهد تا کار خود را به عنوان یک فایل قابل اعتماد به هدف نمایش دهند.

این وصله به اصلاح آسیب‌پذیری می‌پردازد که برای اعمال تنظیمات ماکرو، در یک سند اکسل، با شکست مواجه می‌شود. ماکروها به مدت طولانی توسط بدافزارها مورد استفاده قرار گرفته‌‎اند، چرا که ما اغلب صفحات گسترده و سایر اسناد را نسبتاً بی ضرر می‌بینیم. شما ممکن است به این فکر کنید که ما کاربران به اندازه کافی آموزش دیده هستیم، تا از باز کردن اسناد ناشناخته‌ای که انتظار ندارند جلوگیری کنیم، اما فریب executive_compesantion.xlsx” غیر قابل انکار است. خوشبختانه، این مورد هنوز مورد سو استفاده قرار نگرفته است.

در ادامه فهرست کاملی از حفره‌های امنیتی که توسط مایکروسافت در نوامبر 2017 منتشر شده، آمده است:


 

CVE

Title

Severity

Public

Exploited

XI - Latest

XI - Older

CVE-2017-11827

Microsoft Browser Memory Corruption Vulnerability

Important

Yes

No

1

1

CVE-2017-11883

ASP.NET Core Denial Of Service Vulnerability

Important

Yes

No

2

2

CVE-2017-8700

ASP.NET Core Information Disclosure Vulnerability

Moderate

Yes

No

2

2

CVE-2017-11848

Internet Explorer Information Disclosure Vulnerability

Moderate

Yes

No

2

2

CVE-2017-11856

Internet Explorer Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11855

Internet Explorer Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11845

Microsoft Edge Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11837

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11839

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11841

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11861

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11862

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11870

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11836

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11838

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11840

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11843

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11846

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11859

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11866

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11858

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11869

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

1

CVE-2017-11871

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11873

Scripting Engine Memory Corruption Vulnerability

Critical

No

No

1

N/A

CVE-2017-11770

.NET CORE Denial Of Service Vulnerability

Important

No

No

3

3

CVE-2017-11879

ASP.NET Core Elevation Of Privilege Vulnerability

Important

No

No

2

2

CVE-2017-11830

Device Guard Security Feature Bypass Vulnerability

Important

No

No

2

2

CVE-2017-11803

Microsoft Edge Information Disclosure Vulnerability

Important

No

No

1

N/A

CVE-2017-11833

Microsoft Edge Information Disclosure Vulnerability

Important

No

No

2

N/A

CVE-2017-11844

Microsoft Edge Information Disclosure Vulnerability

Important

No

No

1

N/A

CVE-2017-11863

Microsoft Edge Security Feature Bypass Vulnerability

Important

No

No

2

N/A

CVE-2017-11872

Microsoft Edge Security Feature Bypass Vulnerability

Important

No

No

2

N/A

CVE-2017-11874

Microsoft Edge Security Feature Bypass Vulnerability

Important

No

No

2

N/A

CVE-2017-11878

Microsoft Excel Memory Corruption Vulnerability

Important

No

No

2

2

CVE-2017-11877

Microsoft Excel Security Feature Bypass Vulnerability

Important

No

No

2

2

CVE-2017-11850

Microsoft Graphics Component Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11884

Microsoft Office Memory Corruption Vulnerability

Important

No

No

2

N/A

CVE-2017-11882

Microsoft Office Memory Corruption Vulnerability

Important

No

No

2

2

CVE-2017-11854

Microsoft Word Memory Corruption Vulnerability

Important

No

No

N/A

2

CVE-2017-11791

Scripting Engine Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11834

Scripting Engine Information Disclosure Vulnerability

Important

No

No

3

3

CVE-2017-11832

Windows EOT Font Engine Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11835

Windows EOT Font Engine Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11852

Windows GDI Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11831

Windows Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11880

Windows Information Disclosure Vulnerability

Important

No

No

2

2

CVE-2017-11847

Windows Kernel Elevation of Privilege Vulnerability

Important

No

No

1

1

CVE-2017-11851

Windows Kernel Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11842

Windows Kernel Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11849

Windows Kernel Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11853

Windows Kernel Information Disclosure Vulnerability

Important

No

No

1

1

CVE-2017-11768

Windows Media Player Information Disclosure Vulnerability

Important

No

No

2

2

CVE-2017-11788

Windows Search Denial of Service Vulnerability

Important

No

No

3

3

CVE-2017-11876

Microsoft Project Server Elevation of Privilege Vulnerability

Moderate

No

No

3

3


 


 


 

فراتر از آنچه تاکنون بحث شد، به‌روزرسانی‌ها برای Edge، IE و Chakra Core می‌بایست منجر به فهرست‌های استقرار شود. بسیاری از این‌ها به عنوان باگ‌های بحرانی انحراف حافظه (Memory Corruption) لیست شدند، که این امر می‌تواند گیج‌کننده باشد، چرا که «انحراف حافظه»‌ انواع گوناگونی از باگ‌ها را شامل می‌شود. صرف‌نظر از یک نوع خاص، چنانچه یک سیستم آسیب‌پذیر به یک وب‌گاه مخرب دسترسی پیدا کند، این باگ‌ها منجر به اجرای کد راه دور می‌شوند. تعدادی باگ انحراف حافظه مرتبط با Office نیز در این ماه برطرف شده، که مجموع معضلات انحراف حافظه رفع شده را به 25 مورد می‌رساند (47% از انتشار).

همچنین تعداد زیادی باگ افشای اطلاعات در Windows و Office وجود دارد که این ماه به آن‌ها پرداخته شد، مجموعا 18 مورد. اگرچه این باگ‌ها در مقیاس CVSS بسیار بالا رتبه‌بندی نشدند، اما ارائه دهنده بخش مهمی از sandbox escapes و سایر سواستفاده‌هایی هستند که به نشت حافظه نیاز دارند. باگ‌های ASP.Net نیز به توجه مضاعف نیاز دارند، چرا که دانش عمومی و تهدیدی برای سرقت اعتبارات وجود دارد. 5 وصله که گذرگاه‌های امنیتی را اصلاح می‌کنند منتشر شده، که شامل معضل حفاظت دستگاه، که پیش‌تر مطرح شد نیز می‌باشد.

در نهایت Microsoft نسخه وصله Adobe فوق‌الذکر را برای Flash در Internet Explorer منتشر کرد.

آدرس اینترنتی خبرhttps://www.zerodayinitiative.com/blog/2017/11/14/the-november-2017-security-update-review
تاریخ درج خبر1396-09-19
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست