به گزارش مرکز مدیریت راهبردی افتا، شرکت مایکروسافت، با انتشار مجموعه ‌‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر، ترمیم 81 آسیب‌پذیری را در محصولات مختلف این شرکت آغاز کرده که دو مورد آنها، روز-صفر گزارش شده است.مجموعه‌اصلاحیه‌های ماه سپتامبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:•    Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)•    Elevation of Privilege (افزایش سطح دسترسی)•    Information Disclosure (افشای اطلاعات)•    Denial of Service - به اختصار DoS (منع سرویس)•    Security Feature Bypass (عبور از سد سازوکارهای امنیتی)•    Spoofing (جعل)Elevation of Privilege و RCE، به ترتیب با 41 و 22 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌اند.9 مورد از آسیب‌پذیری‌های وصله‌شده، "بحرانی" گزارش شده‌اند. در درجه‌بندی شرکت مایکروسافت، نقاط ضعفی که سوءاستفاده از آنها بدون نیاز به دخالت و اقدام کاربر باشد، "بحرانی" تلقی شده می‌شوند.همان‌طور که اشاره شد 2 مورد از آسیب‌پذیری‌های وصله‌شده، از نوع "روز-صفر" اعلام شده‌اند. مایکروسافت، آن دسته از آسیب‌پذیری‌ها را روز-صفر می‌داند که قبل از عرضه اصلاحیه و به‌روزرسانی امنیتی برای آنها، یا موردسوءاستفاده مهاجمان قرار گرفته‌اند یا جزییات آنها به‌طور عمومی افشا شده باشد.آسیب‌پذیری‌های روز-صفر این ماه که جزییات هر دوی آن‌ها از پیش از انتشار وصله افشا شده عبارتند از:•    CVE-2025-55234 که ضعفی از نوع Elevation of Privilege در Windows SMB است و می‌تواند در جریان حملات Relay موردسوءاستفاده قرار بگیرد. به گفته مایکروسافت، مهاجمی که با موفقیت از این آسیب‌پذیری بهره‌بردای کند، می‌تواند حملات Relay انجام دهد و سطح دسترسی کاربر قربانی را برای اهداف مخرب خود ارتقا دهد.•    CVE-2024-21907 مربوط به کتابخانه Newtonsoft.Json (قبل از نسخه 13.0.1) است که به‌طور پیش‌فرض در Microsoft SQL Server هم استفاده می‌شود. این نقص به دلیل مدیریت نادرست شرایط استثنایی رخ می‌دهد و اگر داده‌های دستکاری‌شده به متد JsonConvert.DeserializeObject ارسال شوند، می‌تواند منجر به خطای StackOverflow و در نتیجه حمله DoS شود. مهاجم، بدون نیاز به اصالت‌سنجی و به‌صورت از راه دور می‌تواند از این ضعف سوءاستفاده کند.فهرست کامل آسیب‌پذیری‌های ترمیم‌شده / به‌روزشده توسط مجموعه‌اصلاحیه‌های سپتامبر 2025 مایکروسافت در لینک زیر قابل مطالعه است:

سـیـسـکـوشرکت سیسکو، در شهریور ماه، 27 آسیب‌پذیری را در محصولات مختلف خود ترمیم یا جزییات توصیه‌نامه آنها را به‌روزرسانی کرد. شدت 6 مورد از این آسیب‌پذیری‌ها، "بالا" گزارش شده است.  اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل دسترس است:

سـوفـوسدر ششمین ماه 1404، شرکت سوفوس، یک آسیب‌پذیری امنیتی مهم با شناسه CVE-2025-10159 را در تجهیزات Access Point بی‌سیم سری AP6 خود شناسایی و رفع کرد. این آسیب‌پذیری به هکرها اجازه می‌داد در صورتی که به نشانی IP دستگاه دسترسی پیدا کنند، کنترل کامل و سطح مدیر را به دست آورند. جزییات بیشتر در لینک زیر قابل‌مطالعه است:

بـیـت‌دیـفـنـدردر شهریور ماه، شرکت بیت‌دیفندر، اقدام به انتشار 6.43.1-2 سامانه GravityZone کرد. بر اساس یادداشت‌های انتشار شرکت بیت‌دیفندر که در لینک زیر قابل‌مطالعه است ترمیم باگ‌های امنیتی از جمله موارد اعمال‌شده در نسخه یاد شده است.

سـیـتـریـکـسدر ماهی که گذشت شرکت سیتریکس، چندین آسیب‌پذیری بحرانی و مهم را در محصولات خود، به شرح زیر اعلام کرد:•    در XenServer چند مشکل امنیتی شناسایی شده که می‌تواند به ماشین مجازی مهمان اجازه دهد میزبان را مختل یا آلوده کند.•    در NetScaler ADC و NetScaler Gateway نیز چندین آسیب‌پذیری بحرانی کشف شده است. اطلاعات بیشتر در لینک‌های زیر:

گـوگـلشرکت گوگل، در شهریور ماه، در 4 نوبت، نسخه جدید برای مرورگر Chrome منتشر کرد. این نسخه‌های جدید، در مجموع، 13 آسیب‌پذیری را در این مرورگر برطرف کرده‌اندکه شدت 2 مورد از آنها "حیاتی" گزارش شده است.یکی از آسیب‌پذیری‌های یاد شده، با شناسه CVE-2025-10585 روز-صفر بوده و از قبل از انتشار اصلاحیه، مورد سوءاستفاده مهاجمان قرار گرفته است. این آسیب‌پذیری، ششمین حفره روز صفر مرورگر Chrome در سال جاری میلادی است. توصیه‌نامه‌های گوگل در لینک زیر قابل‌دسترس است:

مـوزیـلادر شهریور، شرکت موزیلا، چندین ضعف امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت برخی از این باگ‌های امنیتی، "بالا" گزارش شده است. اطلاعات بیشتر در لینک زیر:

اس‌‌ای‌پـیشرکت اس‌ای‌پی هم در شهریور ماه، 21 توصیه‌نامه امنیتی در خصوص محصولات مختلف خود که اولویت 6 مورد از آنها "حیاتی" و تعدادی نیز "بالا" اعلام شده منتشر کرد. جزییات آسیب‌پذیری‌های بررسی‌شده در توصیه‌نامه‌های یاد شده در لینک زیر قابل دریافت است:

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـادهدر شهریور 1404، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به "فهرست آسیب‌پذیری‌های در حال سوءاستفاده" یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

 

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

(با تشکر از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)