Kimlik avı saldırılarının, fidye yazılımı dağıtımının ve diğer istismarların devam eden saldırısı, topluluğu yazılımlarındaki güvenlik açıklarına erken teşhis ve hızlı yanıt vermeye daha fazla dikkat etmeye zorluyor. Yalnızca Temmuz ayında Microsoft, Windows 11’de 84, Windows 10’da 99 ve hatta Windows Server 2012’de 69 CVE’ye ulaştı. İyi haber şu ki, güvenlik testlerine ve daha iyi güvenlik araçları sağlamaya yönelik ilgi artıyor.
CVSS 4.0
CVSS 4.0’ın genel önizlemesi bu hafta sona erdi ve bu önemli güvenlik aracına ekleme yapmak için son fırsatı sağladı. Yorumlar gözden geçiriliyor ve FIRST bu yıl 1 Ekim’de bir yayın tarihi hedefliyor. Değişiklikler, 3.1’den bir sürüm değişikliğine yol açacak kadar önemliydi. CVSS’ye yeni başlayanlar için terminoloji değişiklikleri memnuniyetle karşılanacaktır. “Geçici” metrikler, endüstri standartlarına uygun olarak “Tehdit” metrikleri olarak yeniden adlandırıldı. FIRST ayrıca, hesaplamada kullanılan faktörleri açıkça gösteren Üs, Çevre ve Tehdit göstergeleriyle terminolojiye açıklık getirdi.
Örneğin, CVSS-B ortam ve tehdidin yokluğunda güvenlik açığının ‘saf’ önem derecesini hesaplamak için yalnızca temel ölçümleri kullanırken, CVSS-BTE ilgili riski sağlayan temel, ortam ve tehdit ölçümlerini dikkate alır. güvenlik açığı ile. Bu, her puanın neleri kapsadığına dair net bir anlayış sağlamaya yönelik büyük bir adımdır.
Göz önünde bulundurulması gereken ek bir bölüm, otomasyon, kurtarma, güvenlik açığı müdahale çabası ve güvenlik açığıyla ilişkili diğer önemli faktörler hakkında bilgi sağlayan ve düzenli yama rutininizdeki güncellemelere öncelik vermeniz açısından önemli olabilecek yeni Ek Metrik Grubu’dur. . CVSS, yama süreçlerimizde ilgili ve önemli bir faktör olmaya devam ederek gelişmeye devam ediyor; bu yıl son sürümü için uyanık olun.
Log4j güvenlik açığı, yazılım geliştirme sırasında daha fazla güvenlik testi ihtiyacına odaklanmayı sağladı. Bazı yeni raporlara göre, geliştiriciler güvenlik analizi ve testi için daha fazla zaman harcıyor, ancak bu hala tüm şirketlerin %50’sinden az. İşin iyi yanı, bu şirketlerin %94’ünün Log4j’ye maruz kalmadan önce uyguladıkları test süreçlerini iyileştirmiş olmalarıdır.
Diğer iyi haber ise, 2022’de açık kaynaklı yazılımlarda düzeltme süresinin yaklaşık %50 oranında kısaltılmış olması. Yazılım güvenlik testinin gelişmeye devam edeceği ve şu anda yükselişte olduğu açık ki bu hepimize yardımcı oluyor.
Ivanti güvenlik açıkları
Ivanti, sırasıyla 24 Temmuz ve 28 Temmuz’da bir yama kullanıma sunulduğunda aynı zamanda kamuya açıklanan iki kritik güvenlik açığıyla ilgili soruşturmasına devam ediyor. Ivanti Endpoint Manager Mobile’daki (EPMM) güvenlik açıkları, hedefli saldırılarda kullanıldı.
CISA ve NCSC-NO, 1 Ağustos 2023’te CVE-2023-35078 ve CVE-2023-35081 ile ilgili ortak bir siber güvenlik danışma belgesi yayınladı ve kuruluşları, kuruluş tarafından yayınlanan yamaları uygulamaya çağırdı. Ivanti, cihazlarını yükseltmek ve düzeltmeyi uygulamalarına yardımcı olmak için müşterilerle aktif olarak çalışmaya devam ediyor.
Düzeltme kılavuzu
Şu anda desteklenen EPMM sürümlerini kullanan müşteriler için öneri, CVE-2023-35081 için en son düzeltmeyi uygulamaktır. Desteklenmeyen bir sürüm kullanıyorsanız Ivanti yükseltme yapmanızı şiddetle tavsiye eder, ancak desteklenmeyen sürümlerde çalışanlar için bu KB sayfasında CVE-2023-35078 için hafifletme seçenekleri mevcuttur.
EPMM tarafından desteklenen sürümler (11.8.1.1, 11.9.1.1,11.10.0.2)
- EPMM’yi sistem yöneticisi portalından yama sürümleriyle (11.8.1.2, 11.9.1.2 ve 11.10.0.3) yükseltin.
EPMM desteklenmeyen sürümler (<11.8.1.1)
- Ivanti, en son güvenlik ve kararlılık düzeltmelerine sahip olduğunuzdan emin olmak için EPMM’nin en son sürümüne yükseltmenizi önemle tavsiye eder. Yükseltme hakkında daha fazla bilgiyi burada bulabilirsiniz.
Ağustos 2023 Yama Salı tahmini
- Geçen ay Microsoft tarafından ele alınan çok sayıda CVE’den sonra, işletim sistemlerinde ve Office uygulamalarında ele alınan CVE’lerde bir miktar gerileme görebiliriz. Her zaman bir .NET Framework veya SQL Server güncellemesi olasılığı vardır, bu yüzden tetikte olun.
- Acrobat ve Reader için son güvenlik güncellemesinin 11 Nisan’da geldiğine inanabiliyor musunuz? Bu ay bir tane için uyanık olun.
- 24 Temmuz, Apple için Pazartesi günü yamaydı. Big Sur, Monterey, Venture, iOS ve iPadOS için güvenlik güncellemeleri yayınladılar. Bunların, son büyük güncellemeden bu yana sağlanan tüm hızlı yanıt güncellemelerini içerdiğini unutmayın. Muhtemelen önümüzdeki hafta Apple’dan herhangi bir güncelleme görmeyeceğiz.
- Chrome OS 108.0.5359.239 için Uzun Süreli Destek Kanalı, bu hafta 6 Yüksek ve 2 Orta dereceli güvenlik açığını gidererek güncellendi. Aynı şekilde Masaüstü için Sabit Kanal, Mac ve Linux için 115.0.5790.170 ve Windows için 115.0.5790.170/.171 olarak güncellendi. 9’u Yüksek ve 2’si Orta olarak derecelendirilen 17 güvenlik açığını ele aldı. Chrome 116’nın beta sürümü de yayınlandı, bu nedenle önümüzdeki hafta GA sürümünü görebiliriz.
- Mozilla bu hafta Firefox 116, Firefox ESR ve Thunderbird 115.1 ve son olarak Firefox ESR ve Thunderbird 102.14 için güvenlik güncellemeleri yayınladı. Tüm bu yeni sürümlerle, önümüzdeki hafta başka bir güncelleme beklemiyorum.
Görünüşe göre tüm önemli üçüncü taraf yazılım güncellemeleri, olası bir Adobe sürümü dışında, bu nedenle bu ay odak noktası Microsoft’ta.