Breaking news and updates from the world of technology.
Patch Tuesday ژوئن ۲۰۲۶ مایکروسافت بزرگترین بهروزرسانی ماهانه در تاریخ این شرکت است: ۲۰۰ آسیبپذیری وصله شد، ۳۸ بحرانی، و شش zero-day — سه تای آنها با کد بهرهبرداری که قبلاً منتشر شده بود.
گوگل و Mandiant تأیید کردهاند که این گروه هکری بیش از ۱۰۰ سازمان — عمدتاً دانشگاههای آمریکایی — را با یک آسیبپذیری اجرای کد از راه دور بدون احراز هویت هدف قرار داده که هنوز هیچ وصلهای برای آن موجود نیست.
CVE-2026-35273 یک آسیبپذیری اجرای کد از راه دور بدون احراز هویت با CVSS 9.8 است که ShinyHunters در حال بهرهبرداری فعال از آن است. دانشگاه ناتینگهام نقض را تأیید کرد.
CVE-2026-11645 یک دسترسی خارج از محدوده به حافظه در موتور V8 Chrome است. اکنون به Chrome 149.0.7827.102 بهروزرسانی کنید.
بزرگترین Patch Tuesday تاریخ مایکروسافت با ۲۰۸ آسیبپذیری منتشر شد، از جمله یک باگ kernel با CVSS 9.8 که قابلیت خودگستری دارد — و همزمان یک محقق اکسپلویت جدیدی برای Windows Defender منتشر کرد.
در ۵ ژوئن، کرم خودتکثیر زنجیره تأمین میاسما با استفاده از فایلهای پیکربندی مخرب، ۷۳ مخزن را در سازمانهای گیتهاب مایکروسافت آلوده کرد. این فایلها برای سرقت اعتبارنامه توسعهدهندگان در هنگام باز کردن مخازن آلوده در ابزارهای کدنویسی هوش مصنوعی از جمله Claude Code، Cursor و Gemini CLI طراحی شده بودند. گیتهاب تمام مخازن آسیبدیده را ۱۰۵ ثانیه پس از شناسایی commit مخرب غیرفعال کرد.
یک نقص بحرانی عبور از احراز هویت در محصولات Remote Access VPN شرکت Check Point بهطور فعال توسط وابستگان گروه باجافزار Qilin مورد بهرهبرداری قرار گرفته است. CISA در ۸ ژوئن CVE-2026-50751 را به کاتالوگ آسیبپذیریهای شناختهشده (KEV) خود افزود و به سازمانهای فدرال آمریکا دستور داد که وصلههای فوری را تا ۱۱ ژوئن اعمال کنند.
یک مطالعه توسط بوز آلن همیلتون روی ۲۸۰۰ آزمایش تولید کد نشان داد که سه مدل از چهار مدل چینی هوش مصنوعی، زمانی که در پرامپتها کاربر به عنوان کارمند دولت ایالات متحده معرفی شده بود، کدهای آسیبپذیرتری تولید کردند. مدل Qwen3-Coder تعداد نقصها را ۱۳۰٪ افزایش داد. این شرکت برای دولت و زیرساختهای حیاتی، مسدودسازی پیشفرض مدلهای چینی هوش مصنوعی را توصیه میکند.
مهاجمان مرتبط با گروه Lapsus$ یک حمله زنجیره تأمین سه مرحلهای اجرا کردند: ابتدا Trivy (اسکنر آسیبپذیری متنباز) را به خطر انداختند، سپس اعتبارنامههای CI/CD را از خط تولید LiteLLM استخراج کردند و در نهایت نسخههای مخرب ۱.۸۲.۷ و ۱.۸۲.۸ LiteLLM را در PyPI منتشر کردند. هر سیستم هوش مصنوعی که این نسخهها را دریافت میکرد، کد تحت کنترل مهاجم را اجرا مینمود — و Mercor، یک پیمانکار آموزشی هوش مصنوعی به ارزش ۱۰ میلیارد دلار که به OpenAI، Anthropic، Meta و Google خدمت میرساند، یکی از قربانیان بود. نتیجه: ۹۳۹ گیگابایت کد منبع پلتفرم، ۲۱۱ گیگابایت داده کاربری و حدود ۳ ترابایت شامل اسکن پاسپورتهای پیمانکاران، سوابق شماره تأمین اجتماعی و ویدئوهای مصاحبه بیومتریک، اکنون برای حراج در وب تاریک فهرست شده است.
CISA آسیبپذیری CVE-2026-28318 را به فهرست آسیبپذیریهای شناختهشده و تحت بهرهبرداری خود افزوده است: یک نقص مصرف کنترلنشده منابع در SolarWinds Serv-U که به مهاجمان بدون احراز هویت امکان میدهد با یک درخواست HTTP POST ساختهشده، سرویس را از کار بیندازند. آژانسهای فدرال باید تا ۱۹ ژوئن ۲۰۲۶ به نسخه Serv-U 15.5.4 Hotfix 1 بهروزرسانی کنند. سازمانهای شرکتی و دولتی خارج از این الزام فدرال نیز باید این موضوع را با همان فوریت در نظر بگیرند.
یک نقص در سیستم High Touch Support متا – ابزاری مبتنی بر هوش مصنوعی که برای کمک به کاربران در بازیابی دسترسی به حسابهایشان طراحی شده – باعث شد مهاجمان بتوانند رمز عبور حسابهایی را که مالک آن نبودند بازنشانی کنند. آنها این کار را با سوءاستفاده از طریق تزریق پرامپت (prompt injection) انجام دادند.
گروه اخاذی بدنام ShinyHunters کل محموله ۲۳۴ گیگابایتی دزدیدهشده از شرکت مدیریت مزایای دندانپزشکی DentaQuest را پس از امتناع این شرکت از پرداخت باج خواستهشده، منتشر کرده است. فایلهای افشاشده شامل نامها، آدرسها، مدارک هویتی دولتی، شمارههای Medicaid و جزئیات بیمه سلامت برای حدود ۲.۶ میلیون نفر است.