به‌گزارش مرکز مدیریت راهبردی افتا، شرکت مـایـکـروسـافـت 23 دی‌ماه اولین مجموعه‌‌اصلاحیه‌های امنیتی ماهانه خود را برای سال میلادی 2026 منتشر کرد. اصلاحیه‌های یاد شده، 114 آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.

سه مورد از آسیب‌پذیری‌های وصله‌شده از نوع روز-صفر بوده که یکی از آنها از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفته است.

مجموعه ‌اصلاحیه‌ های ماه دسامبر، انواع مختلفی از آسیب‌پذیری‌ها از جمله موارد زیر را در محصولات مایکروسافت ترمیم می‌کنند:

1. Remote Code Execution – به اختصار RCE (اجرای از راه دور کد)
2. Elevation of Privilege (افزایش سطح دسترسی)
3. Information Disclosure (افشای اطلاعات)
4. Denial of Service - به اختصار DoS (منع سرویس)
5. Spoofing (جعل)
6. Security Feature Bypass (ازکاراندازی سازوکارهای امنیتی)

Elevation of Privilege با 57 مورد، بیشترین سهم از انواع آسیب‌پذیری‌های این ماه را به خود اختصاص داده‌اند.

همان‌طور که اشاره شد سه آسیب‌پذیری ترمیم‌شده از نوع روز-صفر است. مایکروسافت ضعفی را روز-صفر تلقی می‌کند که پیش از انتشار وصله رسمی، به‌صورت عمومی فاش یا فعالانه مورد سوءاستفاده قرار گرفته باشد.

فهرست آسیب‌پذیری‌های روز-صفر این ماه به شرح زیر است:

CVE-2026-20805؛ یک آسیب‌پذیری افشای اطلاعات در مدیریت پنجره دسکتاپ است. مایکروسافت توضیح می‌دهد: "افشای اطلاعات حساس به یک عامل غیرمجاز در مدیریت پنجره دسکتاپ به مهاجم مجاز این امکان را می‌دهد که اطلاعات را به‌صورت محلی افشا کند." این شرکت اعلام کرده است که بهره‌برداری موفق از این نقص به مهاجم این امکان را می‌دهد که آدرس‌های حافظه مربوط به پورت ALPC از راه دور را بخواند

 به گفته مایکروسافت نوع اطلاعاتی که ممکن است در صورت بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری افشا شود، آدرس بخشی از پورت ALPC از راه دور است که حافظه در حالت کاربر است. مایکروسافت اکسپلویت این آسیب‌پذیری توسط مهاجمان را تایید کرده است.

CVE-2026-21265؛ یک آسیب‌پذیری دور زدن ویژگی امنیتی به دلیل انقضای گواهی Secure Boot است. مایکروسافت هشدار می‌دهد آن دسته از گواهی‌های Secure Boot سیستم عامل Windows که در سال ۲۰۱۱ صادر شده‌اند، در آستانه انقضا هستند و سیستم‌هایی که به‌روزرسانی نشده‌اند، با خطر بیشتری برای دور زدن Secure Boot توسط مهاجمان مواجه‌اند. به‌روزرسانی‌های امنیتی، گواهی‌های تحت‌تأثیر را تمدید می‌کنند تا زنجیره اعتماد Secure Boot حفظ شود و امکان ادامهٔ تأیید مؤلفه‌های بوت فراهم بماند.

CVE-2023-31096؛ یک آسیب‌پذیری ارتقای سطح دسترسی در درایور Agere Soft Modem است. به‌عنوان بخشی از به‌روزرسانی‌های ماه اکتبر، مایکروسافت پیش‌تر هشدار داده بود که آسیب‌پذیری‌هایی که به‌طور فعال مورد سوءاستفاده قرار می‌گیرند، در یک درایور مودم ثالث Agere وجود دارد که همراه با نسخه‌های پشتیبانی‌شده Windows ارائه می‌شود و اعلام کرده بود که این درایورها در یک به‌روزرسانی آینده حذف خواهند شد. از این آسیب‌پذیری‌ها برای دستیابی به دسترسی مدیریتی روی سیستم‌های به‌خطر افتاده سوءاستفاده شده است. مایکروسافت اکنون این درایورهای آسیب‌پذیر را از Windows حذف کرده است.

فهرست کامل آسیب‌پذیری‌های ترمیم‌شده توسط مایکروسافت در لینک زیر قابل‌دسترس است:

https://msrc.microsoft.com/update-guide/vulnerability

سـیـسـکـو

شرکت سیسکو، در دی ماه، 7 آسیب‌پذیری را در محصولات مختلف خود ترمیم یا جزییات توصیه‌نامه آنها را به‌روزرسانی کرد. اطلاعات بیشتر در خصوص به‌روزرسانی‌ها و اصلاحیه‌های سیسکو در نشانی زیر قابل‌دسترس است:

https://tools.cisco.com/security/center/publicationListing.x

فـورتـی‌نـت

در دی، شرکت فورتی‌نت، اقدام به ترمیم 3 آسیب‌پذیری امنیتی در محصولات خود کرد. شدت یکی از این آسیب‌پذیری‌ها با شناسه CVE-2025-25249، "بالا" گزارش شده است.

جزییات بیشتر در لینک زیر:

https://fortiguard.fortinet.com/psirt

همچنین فورتی‌نت تایید کرده است که مهاجمان در حال سوءاستفاده فعال از آسیب‌پذیری بحرانی CVE-2025-59718 هستند؛ نقصی که به دور زدن احراز هویت FortiCloud SSO منجر می‌شود و حتی فایروال‌های کاملاً به‌روزرسانی‌شده را نیز تحت تأثیر قرار داده است.

طبق گزارش‌ها، از اواسط ژانویه ۲۰۲۶ مهاجمان به‌صورت خودکار حساب‌های مدیریتی ایجاد و تنظیمات فایروال‌ها را سرقت کرده‌اند.

فورتی‌نت اعلام کرده در حال آماده‌سازی وصله نهایی است و تا زمان انتشار آن، به مشتریان توصیه کرده دسترسی مدیریتی از اینترنت را محدود کرده و قابلیت FortiCloud SSO را غیرفعال کنند.

 اطلاعات بیشتر در لینک زیر قابل‌مطالعه است:

https://www.fortinet.com/blog/psirt-blogs/analysis-of-sso-abuse-on-fortios

بـیـت‌دیـفـنـدر

در ماهی که گذشت شرکت بیت‌دیفندر نسخه 6.44.1-4 سامانه GravityZone را منتشر کرد که از جمله موارد لحاظ‌شده در آن اعمال وصله‌های امنیتی بوده است.

 یادداشت انتشار نسخه یاد شده در لینک زیر قابل مطالعه است:

https://www.bitdefender.com/business/support/en/77212-78207-gravityzone-control-center.html

گـوگـل

شرکت گوگل، در دی ماه، در 3 نوبت، نسخه جدید برای مرورگر Chrome منتشر کرد. این نسخه‌های جدید، در مجموع، 12 آسیب‌پذیری را که شدت 5 مورد از آنها "بالا" گزارش شده در این مرورگر برطرف کرده‌اند.

 توصیه‌نامه‌های گوگل در لینک زیر قابل‌دسترس است:

https://chromereleases.googleblog.com

مـوزیـلا

شرکت موزیلا، چندین ضعف امنیتی را در مرورگر Firefox و نرم‌افزار مدیریت ایمیل Thunderbird برطرف کرد. شدت بسیاری از این باگ‌های امنیتی، "بالا" گزارش شده است.

 اطلاعات بیشتر در لینک زیر:

https://www.mozilla.org/en-US/security/advisories/

اس‌‌ای‌پـی

شرکت اس‌ای‌پی هم در دی ماه، 14 توصیه‌نامه امنیتی در خصوص محصولات مختلف خود منتشر کرد. اولویت 2 مورد از آنها "بحرانی" و 3 مورد نیز "بالا" اعلام شده است.

جزییات آسیب‌پذیری‌های بررسی‌شده در توصیه‌نامه‌های یاد شده در لینک زیر قابل دریافت است:

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html

ویـیـم

شرکت Veeam، در به‌روزرسانی اخیر Veeam Backup & Replication (نسخه 13.0.1.1071)، مجموعه‌ای از آسیب‌پذیری‌های امنیتی مهم را برطرف کرده است.

 این آسیب‌پذیری‌ها که تمامی بیلدهای نسخه 13 تا قبل از 13.0.1.180 را تحت تأثیر قرار می‌دادند، شامل چندین نقص با شدت بالا و بحرانی هستند که امکان اجرای کد از راه دور یا نوشتن فایل با سطح دسترسی root را برای کاربران دارای نقش‌های عملیاتی فراهم می‌کردند.

در میان آسیب‌پذیری‌های رفع‌شده می‌توان به CVE-2025-55125 و CVE-2025-59469 با شدت بالا (CVSS 7.2) اشاره کرد که به اپراتورهای Backup یا Tape اجازه اجرای کد یا نوشتن فایل به‌عنوان root را می‌دادند.

همچنین CVE-2025-59468  با شدت متوسط (CVSS 6.7) و CVE-2025-59470 با امتیاز بحرانی CVSS 9.0 شناسایی شده‌اند که امکان اجرای کد از راه دور به‌عنوان کاربر postgres را فراهم می‌کردند.

اطلاعات بیشتر در لینک زیر قابل‌دسترس است:

https://www.veeam.com/kb4792

آسـیب‌پـذیـری‌هـای در حـال سـوءاسـتفـاده

در دی 1404، مرکز CISA ایالات متحده، ضعف‌های امنیتی زیر را به "فهرست آسیب‌پذیری‌های در حال سوءاستفاده" یا همان Known Exploited Vulnerabilities Catalog اضافه کرد:

1. CVE-2026-20805    Microsoft Windows Information Disclosure Vulnerability
2. CVE-2025-8110      Gogs Path Traversal Vulnerability
3. CVE-2009-0556      Microsoft Office PowerPoint Code Injection Vulnerability
4. CVE-2025-37164    Hewlett Packard Enterprise (HPE) OneView Code Injection Vulnerability
5. CVE-2025-14847    MongoDB Improper Handling of Length Parameter Inconsistency Vulnerability
6. CVE-2023-52163    Digiever DS-2105 Pro Missing Authorization Vulnerability

فهرست کامل Known Exploited Vulnerabilities Catalog در لینک زیر قابل دریافت است:

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

(با تشکر از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)