تحديثات مايكروسوفت (سبتمبر 2025): إصلاح 81 ثغرة أمنية وثغرتي يوم صفر

أصدرت شركة مايكروسوفت حزمة تحديثات الثلاثاء (Patch Tuesday) لشهر سبتمبر 2025، والتي تعالج 81 ثغرة أمنية في مختلف منتجاتها. تتضمن الحزمة إصلاحات حاسمة لثغرتين من نوع “يوم الصفر” (Zero-Day) تم الكشف عنهما علنًا، بالإضافة إلى تسع ثغرات أخرى مصنفة على أنها “حرجة” (Critical).

إصلاح ثغرتي يوم صفر مكشوفتين علنًا

كان أبرز ما في هذا التحديث هو معالجة ثغرتين تم الكشف عنهما للعامة قبل توفر إصلاح رسمي، مما يجعلهما خطيرتين بشكل خاص.

1. CVE-2025-55234: ثغرة رفع امتيازات في خادم SMB

أصلحت مايكروسوفت ثغرة أمنية خطيرة في خادم SMB تسمح للمهاجمين برفع امتيازاتهم عبر هجمات الترحيل (Relay Attacks). أوضحت الشركة أن المهاجم الذي ينجح في استغلال هذه الثغرة يمكنه تنفيذ هجمات ترحيل وتعريض المستخدمين لهجمات رفع الامتيازات.

على الرغم من أن ويندوز يتضمن بالفعل إعدادات لتقوية خادم SMB ضد هذه الهجمات (مثل تمكين توقيع SMB وحماية المصادقة الممتدة EPA)، إلا أن تفعيلها قد يسبب مشكلات توافق مع الأجهزة القديمة. لذلك، أضافت مايكروسوفت في تحديث اليوم دعمًا لتدقيق توافق عميل SMB، مما يسمح للمسؤولين بتقييم أي مشكلات محتملة قبل فرض هذه الميزات الأمنية بالكامل.

2. CVE-2024-21907: ثغرة حجب الخدمة في SQL Server (عبر Newtonsoft.Json)

أصلحت مايكروسوفت ثغرة معروفة تم الكشف عنها في عام 2024 ضمن مكتبة Newtonsoft.Json، والتي يتم تضمينها كجزء من Microsoft SQL Server. تسمح هذه الثغرة للمهاجم بإرسال بيانات مصممة خصيصًا إلى طريقة JsonConvert.DeserializeObject، مما قد يؤدي إلى استثناء StackOverflow وبالتالي التسبب في حجب الخدمة (Denial of Service).

تتضمن تحديثات SQL Server التي تم إصدارها اليوم نسخة محدثة من Newtonsoft.Json تعالج هذه المشكلة.

تفاصيل الثغرات الحرجة وتصنيفها

من بين 81 ثغرة تم إصلاحها، تم تصنيف تسع ثغرات على أنها حرجة. تتوزع هذه الثغرات الحرجة على النحو التالي:

• خمس ثغرات لتنفيذ تعليمات برمجية عن بعد (Remote Code Execution).
• ثغرتا رفع امتيازات (Elevation of Privilege).
• ثغرة واحدة لكشف المعلومات (Information Disclosure).

أما التصنيف الكامل للثغرات الـ 81 فهو:

• 41 ثغرة رفع امتيازات.
• 22 ثغرة تنفيذ تعليمات برمجية عن بعد.
• 16 ثغرة كشف معلومات.
• 3 ثغرات حجب خدمة.
• 2 ثغرة تجاوز ميزة أمان.
• 1 ثغرة انتحال (Spoofing).

تجدر الإشارة إلى أن هذا العدد لا يشمل الثغرات التي تم إصلاحها في وقت سابق من هذا الشهر لمنتجات أخرى مثل Azure، Microsoft Edge، و Xbox.

📡 لمزيد من التحديثات اليومية، تفضل بزيارة قسم الأخبار على موقعنا.

ابقَ في صدارة المشهد التقني! 🔍
انضم إلى مجتمعنا على تيليغرام لتصلك أبرز الأخبار أولاً بأول! 💡

📡 لمزيد من التحديثات اليومية، تفضل بزيارة قسم الأخبار على موقعنا.

ابقَ في صدارة المشهد التقني! 🔍
انضم إلى مجتمعنا على تيليغرام لتصلك أبرز الأخبار أولاً بأول! 💡

مقالات ذات صلة:

• تحديثات مايكروسوفت الأمنية لشهر يوليو 2025 تعالج 137 ثغرة بينها ثغرة يوم صفر في SQL Server
• تحديثات مايكروسوفت الأمنية لشهر يونيو 2025 تصلح 66 ثغرة بينها ثغرتان خطيرتان
• كشف الخبراء عن برنامج استغلال لثغرة أمنية حديثة في نظام التشغيل ويندوز
• ثغرة جديدة في ويندوز تعرض بيانات NTLM للخطر – إليك التفاصيل والحلول المؤقتة
• ثغرة أمنية في Quick Share على Windows تسمح بإرسال ملفات دون موافقة المستخدم