به‌روزرسانی روز سه‌شنبه ادوبی: ۳۱ آسیب‌پذیری وصله شد

صبح روز سه‌شنبه شرکت ادوبی ۳۱ آسیب‌پذیری را در ۹ محصول خود وصله کرد. یکی از مهم‌ترین اشکالات، یک آسیب‌پذیری روز-صفرم در فلش پلیر بود که در حملاتی علیه کاربران اینترنت اکسپلورر ویندوز مورد بهره‌برداری قرار گرفته بود.

این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۷۸۹۲ یکی از ۱۶ آسیب‌پذیری فلش است که اگر توسط مهاجم مورد بهره‌برداری قرار بگیرد، باعث اجرای کد خواهد شد. براساس بولتن امنیتی ادوبی، هنوز جزئیات این آسیب‌پذیری مشخص نشده ولی به نظر می‌رسد یک آسیب‌پذیری استفاده بعد از آزادسازی باشد که در مقیاسی محدود و هدف‌مند، کاربران اینترنت اکسپلورر ۳۲ بیتی ویندوز را هدف قرار داده است.

به کاربران لینوکس که از نسخه‌های ۱۱.۲.۲۰۲.۶۴۴ و ۲۳.۰.۰.۲۰۷ و قبل‌تر فلش پلیر استفاده می‌کنند، توصیه شده است هرچه سریع‌تر نسخه‌ی به‌روزرسانی شده‌ی ۲۴.۰.۰.۱۸۶ را بارگیری کنند.

این آسیب‌پذیری روز-صفرم یکی از ۴ آسیب‌پذیری جدی است که این ماه ادوبی وصله کرده است. این شرکت به‌روزرسانی‌هایی را برای وصله کردن آسیب‌پذیری خرابی حافظه در محصولات زیر منتشر کرده است:
• برنامه‌ی انیمیشن Animate
• برنامه‌ی DNG Converter که یک ابزار رایگان برای تبدیل DNG است
• بستر انتشار رومیزی InDesign

هرچند این شرکت اعلام کرده که گزارشی مبنی بر بهره‌برداری از این آسیب‌پذیری‌ها در دنیای واقعی مشاهده نکرده است ولی بسیار به کاربران توصیه می‌کند تا از نسخه‌های به‌روزشده‌ی این نرم‌افزارها استفاده کنند. ادوبی ادعا می‌کند هرچند که این ۳ آسیب‌پذیری بسیار مهم و بحرانی هستند ولی مشاهده نشده که این محصولات هدف حمله قرار گرفته باشند.

شرکت ادوبی روز سه‌شنبه برای آسیب‌پذیری‌های مهم نیز وصله ارائه کرده است. محصولاتی که تحت تأثیر این آسیب‌پذیری‌ها بودند عبارتند از: Experience Manager ،ColdFusion Builder ،Digital Editions و RoboHelp. به گفته‌ی ادوبی این آسیب‌پذیری‌ها می‌توانست در حملات XSS، افشای اطلاعات، نشت آدرس‌های حافظه و دیگر حملات مورد بهره‌برداری قرار بگیرد.

این به‌روزرسانی‌ها در قالب وصله‌های روز سه‌شنبه هر ماه منتشر می‌شود. ماه گذشته این شرکت ۹ آسیب‌پذیری اجرای کد را در برنامه‌ی فلش پلیر وصله کرده بود. برخلاف وصله‌های این ماه، هیچ یک از وصله‌های ماه قبل آسیب‌پذیریِ افشاشده‌ای را وصله نکرده بود.

در طول پاییز این دومین بار است که ادوبی آسیب‌پذیری روز-صفرم در فلش را وصله می‌کند که در حملاتی نیز از این اشکال بهره‌برداری شده است. در مهر ماه، دو هفته قبل از به‌روزرسانی‌های آبان ماه، این شرکت مجبور شد برای وصله کردن یک آسیب‌پذیری، به‌روزرسانی اضطراری را منتشر کند. این آسیب‌پذیری توسط گروه تحلیل تهدید گوگل کشف شده بود و مهاجمان از آن در ویندوز ۷، ۸.۱ و ۱۰ بهره‌برداری می‌کردند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap