Temmuz şaşırtıcı derecede yoğun bir aya dönüştü. Son blogumda öngördüğüm gibi Salı günü oldukça ‘sakin’ bir yama ile yavaşça başladı. Tüm Microsoft sürümlerinde 130 yeni CVVE ele alınmış olsa da, kamuya açık bir şekilde açıklanan sadece bir CVE vardı, bu nedenle risk düşüktü. Ancak kısa bir süre sonra, SharePoint’teki iki CVE’nin sömürüldüğü bildirildi ve ay ayın sonuna yakın sıcaklıklarla ısınmaya başladı. Bazı güvenlik yapılandırma sorunlarını Microsoft Exchange Server ve Google ve Apple’dan bazı önemli güncellemelerle karıştırın ve ay çok fazla etkinlikle sona erdi.
Microsoft yeni düzeltmeler yaparken cisa flags sharepoint kusurları
Bir güvenlik açığını tamamen düzeltmek için birkaç yineleme alabilir. Microsoft bunu yeni bir SharePoint güvenlik açığı düzeltmeleri ile buldu. Bu yılın başlarında Berlin Pwn2own yarışmasında, ‘Araç Kobu’ zinciri olarak adlandırılan bir dizi güvenlik açığı sömürüldü ve daha sonra Microsoft Temmuz 2025 Patch Salı güncellemelerinde sabitlendi. Anahtar Güvenlik Açıkları A CVE-2025-49704 SharePoint Uzaktan Kod Yürütme Güvenlik Açığı ve CVE-2025-49706 SharePoint Sunucusu Sahtekarlık Güvenlik Açığı.
Bu sürümden kısa bir süre sonra Microsoft, Google ve diğerleri bu düzeltmelerin atlandığını ve birçok kuruluşun tehlikeye atıldığını bildirdi. 19 Temmuz’da Microsoft, ilişkili güvenlik açıkları CVE-2025-53770 ve CVE-2025-53771 ile daha ‘sertleştirilmiş’ bir düzeltme ile bir güncelleme yayınladı. Microsoft SharePoint Server Abonelik Edition, Microsoft SharePoint Server 2019 ve Microsoft SharePoint Enterprise Server 2016 için ayrı sürümler vardır. Microsoft, güncellemeleri uygulamanın yanı sıra, etkilenen sunucularda ilişkili makine anahtarlarını döndürmenizi önerir.
Bu araç kabı saldırısı zincirinden yararlanan rapor edilen fidye yazılımı var ve CISA bunları federal ajanslar tarafından derhal düzeltme için sömürülen güvenlik açıkları kataloğuna dahil etti. Bu sıcaklıkların Salı günkü açıklamalara da dahil edileceğini tahmin edin.
Kromda sıfır gün, en son sürümlerde düzinelerce elma cves sabit
Microsoft, hibrid ortamlarda Microsoft Exchange Server ile ilgili güvenlik sorunlarını ele almak için CVE-2025-53786 yayınladı. Bu CVE, Nisan Güncellemesi ve Güvenlik Hotfix’i şirket içi Microsoft Exchange Server ve Exchange Online’ı güvence altına almaya yönelik bir dizi talimatla bir araya getirir. Neler olduğunu göstermek için çok az günlüğe uzlaşmaya yol açabilecek takvimler, e -posta iletişim listeleri vb. Gibi kimlik bilgilerini ve verileri paylaşırlar. Bu Exchange Server Blogu, daha güvenli bir yapılandırmaya yönelik Exchange ürünlerinin EOL’si ve geçiş seçenekleri hakkında kapsamlı ayrıntılar sunar.
Salı günü geçen Temmuz 2025 yamasından bu yana farkında olmak için birkaç büyük Microsoft olmayan güncelleme var. Google, sıfır gün CVE-2025-6558 de dahil olmak üzere çeşitli güvenlik açıklarını ele almak için 16 Temmuz’da piyasaya sürülen krom tarayıcısında haftalık güncellemelerle devam ediyor. Bu güvenlik açığı, uzak bir saldırganın potansiyel olarak bir sanal alan kaçışı gerçekleştirmesine izin verdi. Apple ayrıca işletim sistemleri ve uygulamaları için bir dizi büyük güncelleme yayınladı. Bu güncellemelerden, 41 CVVE ile Ventura 13.7.7, 50 CVE’li Sonoma 14.7.7, 89 CVVE ile Seksioa 15.6 ve Ventura için Safari ve 17 CVVE sabitlenmiş Sonoma’yı içerir.
Ağustos Yaması Salı Tahmini
- SharePoint’in bu ay bazı önemli güncellemeler alacağını biliyoruz ve sadece güncellemeleri uygulamaktan ve uzaklaşmaktan daha fazlası olduğunu unutmayın – makine anahtarlarınızı güncellemeyi düşünmeniz gerekir. Tüm olağan işletim sistemi ve uygulama güncellemelerini bekleyin, ancak bir süredir.
- Adobe, Creative Cloud ürün paketi için sürekli bir güncelleme akışı ile devam ediyor, bu yüzden bu ay daha fazla bekleyin, belki Photoshop odak noktası.
- Apple büyük güncellemelerini 29 Temmuz’da yayınladı ve önemli bir sorun duymadığımız için, bir iki ay daha bir mola vermeliyiz. Sadece en son güncellemelerin dağıtıldığından emin olun.
- Google, Chrome güncellemelerini neredeyse her yamayı Salı günü yayınlar, ancak genellikle gün geç saatlerde görüldüklerini unutmayın.
- Mozilla’nın son güvenlik bültenleri 22 Temmuz’du, bu yüzden ESR sürümleriyle birlikte Firefox ve Thunderbird güncellemelerine bağlı.
Yazılımdaki güvenlik açıklarını düzeltmek genellikle bir barajda delikler takmak gibi görünebilir – sadece bir tane sabitlendiğinizde, başka bir sızıntı ortaya çıkar. Microsoft bunu bu son SharePoint güvenlik açıklarıyla öğrendik, ancak daha önce gördük (Baskı Kabusu’nu hatırlayın) ve tekrar göreceğiz. Umarım bu sefer denemeleri, denemeleri gerekmez.