مایکروسافت در اصلاحیه امنیتی ماه آوریل، patchهای مربوط به ۱۱۳ آسیبپذیری و ۱۱ محصول خود را منتشر کرده است. حداقل ۳ مورد از این آسیبها مورد بهرهبرداری قرار گرفتهاند و ۲ مورد دیگری که جزئیات آنها منتشر شده است، در معرض سوءاستفاده هکرها قرار دارند. ۱۹ مورد از ضعفهای ترمیم شده با درجه بحرانی اعلام شدهاند؛ به این معنی که مهاجمان میتوانند کنترل کامل سیستم آسیبپذیر را از راه دور و بدون نیاز به کمک کاربر در اختیار بگیرند.
۳ مورد آسیبپذیری روزصفر (zero day) منتشر شده در این اصلاحیه شامل موارد زیر هستند:
- یکی از مهمترین موارد این ماه مربوط به اصلاحیه CVE-2020-1020، نقص موجود در کتابخانه برنامه Adobe Font Manager است که به گفته مایکروسافت مورد سوءاستفاده مهاجمان قرار گرفتهاست. دیگر آسیبپذیری روز صفر نیز مربوط به کتابخانه Adobe Font Manager و با شناسه CVE-2020-0938 است.
- آسیبپذیری روز صفر بعدی مربوط به CVE-2020-1027 است و مربوط به نقص کرنل ویندوز میشود. مایکروسافت این مورد را با درجه مهم اعلام کرده است، چرا که از نوع افزایش سطح دسترسی (elevation of privilege) بوده و بدون اعتبار سنجی مهاجم، سوء استفاده از این آسیبپذیری ممکن نیست.
یکی دیگر از موارد مطرح شده در اصلاحیه این ماه که در ابتدا به اشتباه به عنوان آسیبپذیری روز صفر اعلام شد، آسیبپذیری مربوط به مرورگر اینترنت اکسپلورر و با شناسه CVE-2020-0968 است. تا به حال گزارشی از سوءاستفاده از آن دریافت نشده اما مایکروسافت هشدار داده است که احتمال بهکارگیری این آسیبپذیری در آیندهای نزدیک وجود دارد.
توصیه میشود پس از بررسیهای لازم patchهای مورد نیاز سیستم خود را نصب کنید و البته به خاطر داشته باشید که قبل از نصب، از پشتیبانگیری فایلهای سیستم خود اطمینان حاصل کنید.
