خب بچهها، اگه ویندوز یا برنامههای مرتبط با مایکروسافت رو استفاده میکنین، باید بگم خبر داغ براتون دارم! این هفته، مایکروسافت طبق رسم هر ماهش (به قول خودشون Patch Tuesday یعنی همون سهشنبهای که آپدیتهای امنیتی میان)، یه سری وصله امنیتی (پچ) منتشر کرده که بیش از ۶۰ تا آسیبپذیری رو تو سیستمعامل ویندوز و کلی نرمافزار دیگه برطرف میکنه.
حالا قضیه فقط این نیست؛ یکی از این حفرهها تازه کشفشده و بهش میگن zero-day vulnerability، یعنی همون آسیبپذیریهایی که هکرها قبلا دارن ازش سوءاستفاده میکنن. (zero-day یعنی آسیبپذیری که هیچ آپدیتی براش نیومده و هکرها زودتر از شرکت فهمیدن و دارن سواستفاده میکنن.)
تو این ماه، کلی محصولات مهم مایکروسافت تو این پچها هستن: خود ویندوز، آفیس، SharePoint (که برای همکاری و اشتراکگذاری اسناد شرکتیه)، SQL Server (برای مدیریت پایگاه داده)، Visual Studio (همون ابزار محبوب برنامهنویسا)، GitHub Copilot (اون دستیار هوشمند کدنویسی که با هوش مصنوعی کار میکنه)، و Azure Monitor Agent (ابزاری واسه مانیتورینگ سرویسای ابری).
داستان آسیبپذیریهای حساس چیه؟
بزرگترین خبر اینه که یک حفره امنیتی به اسم CVE-2025-62215 پیدا شده. این مشکل مربوط به memory corruption میشه (یعنی بهم ریختگی دادهها توی حافظه کامپیوتر که میتونه باعث هک بشه). خود مایکروسافت بهش لقب “مهم” داده، ولی نه “حیاتی”، چون کسی که بخواد سواستفاده کنه باید از قبل یه جور دسترسی به دستگاه قربانی داشته باشه.
اما خیال راحت نباشین چون این جور آسیبها معمولا بخشی از یه زنجیره حمله هستن. یعنی یه هکر شاید اول سیستم رو با چیز دیگهای هک کنه و بعد این حفره رو بزنه. مثلا، یکی از اساتید امنیت سایبری به اسم Johannes Ullrich گفته چون قبلا مشابه این باگها وجود داشته، احتمال اینکه هکرها بتونن از این هم استفاده کنن بالاست!
حفرههای گرافیکی و آفیس هم خطرناکن!
یه آسیب جدی دیگه هم به اسم CVE-2025-60274 توی سیستم گرافیکی ویندوز (بخش GDI+) پیدا شده که تقریبا هر برنامهای، از آفیس گرفته تا وبسرورها (برنامههایی که تصاویر رو نمایش و پردازش میکنن)، از اون استفاده میکنن. یکی از مهندسای امنیت به اسم بن مککارتی گفته آپدیت این مورد باید اولویت شماره یک هر شرکتی باشه! با اینکه مایکروسافت گفته احتمال سواستفاده کمتره، ولی رتبه خطرش توی سیستم CVSS برابر ۹.۸ از ۱۰ ثبت شده که یعنی خیلی خیلی خطرناک.
یه مشکل عجیب هم تو خود آفیس هست (CVE-2025-62199) که اگر آپدیت نشه، میتونه باعث بشه فقط با باز کردن یه پیام آلوده توی Preview Pane (همون پنجره پیشنمایش ایمیل یا سند)، سیستمتون هک شه! اینم اصلا پیچیده نیست کارش؛ تقریبا هر کی بتونه یه پیام درست کنه، میتونه سواستفاده کنه و هیچ دسترسی خاصی هم لازم نداره.
ماجرای ویندوز ۱۰ و کاربرانش
واسه بچههایی که هنوز با ویندوز ۱۰ حال میکنن و دوست ندارن به نسخه جدیدتر کوچ کنن، خبر خوب داریم. مایکروسافت ماه پیش پشتیبانی رسمی از ویندوز ۱۰ رو قطع کرد و دیگه آپدیت امنیتی نداد. ولی به طور غیرمنتظره به بعضی کاربرا گفته اگه کامپیوترشون به یه مایکروسافت اکانت فعال وصل باشه، یه سال آپدیت رایگان اضافه هم میگیرن.
البته، بعضیا گفتن که اصلا اون گزینه واسه ثبتنام هرگز براشون نیومده! حالا مایکروسافت اومده یه آپدیت اضطراری داده (بهش میگن out-of-band update، یعنی چرا برنامهریزی نشده معمولی) که مشکل ثبتنام تو برنامه Extended Security Update رو حل میکنه. اسم این آپدیت KB5071959 هست. حتما نصبش کنین تا بتونین بعدش بقیه بهروزرسانی مثل KB5068781 (آخرین آپدیت امروز برای ویندوز ۱۰) رو نصب کنین.
بقیه نرمافزارها هم باید آپدیت بشن!
همین روزا فقط مایکروسافت نیست که آپدیت داده؛ از Adobe و Mozilla هم آپدیت جدید اومده و خیلی زود برای Google Chrome هم میاد (پس Edge هم باید آپدیت شه چون از موتور مشابهی استفاده میکنه).
مرجعها و منابع خوب برای چِککردن آپدیتها:
SANS Internet Storm Center یه لیست دقیق و درجهبندیشده با نرخ خطر (Severity و CVSS Score یعنی رتبه شدت آسیبپذیریها) براتون گذاشته که میتونین راحت همه باگها رو ببینین. مدیرای شبکه و سیستم هم بد نیست قبل از فعالکردن وصلهها یه سر به سایت Askwoody بزنن؛ معمولا زودتر از بقیه ایرادات احتمالی آپدیتها رو اطلاع میدن.
یادتون نره همیشه بکآپ بگیرین!
در نهایت، مثل همیشه، یادتون نره که از دادههاتون (اگه نشد همه سیستم، حداقل فایلای مهمتون) مرتب پشتیبان تهیه کنین که اگه مشکلی پیش اومد، دودستی به سر نزنین.
اگه موقع نصب آپدیتها به مشکلی خوردین یا تجربه خاصی داشتین، همین جا تو کامنتها به بقیه هم بگین تا کمک کنین یا راهنمایی بگیرین!
راستی، نویسنده مقاله گفته قرار بوده این مطلب ۱۱ نوامبر منتشر شه، ولی یه گاف پیش اومده و با تاخیر بالا اومده؛ پس اینم بندازین به حساب خطای انسانی! 😉
منبع: +
