Teknoloji devleri Apple, Microsoft ve Google, birçoğu zaten gerçek hayattaki saldırılarda kullanılmakta olan büyük güvenlik açıklarını Nisan ayında düzeltti. Yama yayınlayacak diğer firmalar arasında gizlilik odaklı tarayıcı Firefox ve kurumsal yazılım sağlayıcıları SolarWinds ve Oracle yer alıyor.
İşte Nisan ayında yayınlanan yamalar hakkında bilmeniz gereken her şey.
Elma
iOS 16.4’ün hemen ardından Apple, saldırılarda kullanılmakta olan iki güvenlik açığını gidermek için iOS 16.4.1 güncellemesini yayınladı. Apple, destek sayfasında CVE-2023-28206’nın IOSurfaceAccelerator’da çekirdek ayrıcalıklarıyla kod yürütebilen bir uygulamayı görebilen bir sorun olduğunu söyledi.
CVE-2023-28205, Safari tarayıcısına güç sağlayan motor olan WebKit’te rastgele kod yürütülmesine neden olabilecek bir sorundur. Her iki durumda da iPhone üreticisi, “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” diyor.
Siber güvenlik firması Sophos’ta güvenlik araştırmacısı olan Paul Ducklin, hatanın, bubi tuzaklı bir web sitesini ziyaret etmenin siber suçlulara tarayıcınız veya HTML içeriğini işlemek ve görüntülemek için WebKit kullanan herhangi bir uygulama üzerinde kontrol sağlayabileceği anlamına geldiğini söylüyor.
iOS 16.4.1’de düzeltilen iki kusur, Google’ın Tehdit Analizi Grubu ve Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı tarafından bildirildi. Bunu dikkate alan Ducklin, güvenlik açıklarının casus yazılım yerleştirmek için kullanılmış olabileceğini düşünüyor.
Apple ayrıca, eski iPhone kullanıcılarının zaten kullanılmış olan aynı kusurları düzeltmeleri için iOS 15.7.5’i yayınladı. Bu arada, iPhone üreticisi macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 ve macOS Big Sur 11.7.6’yı yayınladı.
Microsoft
Apple, Nisan ayında acil durum yamaları yayınlayan tek büyük teknoloji firması değildi. Microsoft ayrıca bu ayki Yama Salı güncellemesinin bir parçası olarak acil bir düzeltme yayınladı. CVE-2023-28252, Windows Ortak Günlük Dosyası Sistemi Sürücüsünde bir ayrıcalık yükselmesi hatasıdır. Microsoft bir danışma belgesinde, kusurdan başarıyla yararlanan bir saldırganın sistem ayrıcalıkları kazanabileceğini söyledi.
Dikkate değer başka bir kusur olan CVE-2023-21554, Microsoft Message Queuing’de kritik etkiye sahip olarak etiketlenen bir uzaktan kod yürütme güvenlik açığıdır. Microsoft, güvenlik açığından yararlanmak için bir saldırganın bir MSMQ sunucusuna kötü amaçlı bir MSMQ paketi göndermesi gerektiğini ve bunun da sunucu tarafında uzaktan kod yürütülmesine neden olabileceğini söyledi.
Düzeltme, 98 güvenlik açığı için bir dizi yamanın parçasıydı, bu nedenle danışma belgesini kontrol etmeye ve mümkün olan en kısa sürede güncellemeye değer.
Google Android
Google, Android işletim sistemi için birkaç ciddi açığı gideren birden çok yama yayınladı. Google, Android Güvenlik Bülteni’nde, en ciddi hatanın, sistem bileşeninde hiçbir ek yürütme ayrıcalığı gerekmeden uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığı olduğunu söyledi. Sömürü için kullanıcı etkileşimi gerekli değildir.
Yamalı sorunlar, çerçevede sekiz ayrıcalık yükselmesi kusuru dahil olmak üzere 10 ve yüksek önem derecesine sahip olarak derecelendirilen diğer dokuz sorunu içerir. Google, iki kritik RCE kusuru ve çekirdek ve SoC bileşenlerindeki birkaç sorun dahil olmak üzere sistemdeki 16 hatayı düzeltti.
Güncelleme ayrıca, çekirdekte CVE-2023-0266 olarak izlenen bir ayrıcalık yükselmesi kusuru da dahil olmak üzere Pixel’e özgü birkaç yama içerir. Android Nisan yaması, Google’ın cihazlarının yanı sıra Samsung’un Galaxy S-serisi ile birlikte Fold ve Flip-serisi de dahil olmak üzere modeller için kullanılabilir.
Google Chrome
Nisan ayının başında Google, popüler Chrome tarayıcısında bazıları ciddi olan 16 sorunu gidermek için bir yama yayınladı. Yamalı kusurlar, Visuals’te yüksek etkiye sahip olarak derecelendirilen bir yığın arabellek taşması sorunu olan CVE-2023-1810’u ve Çerçevelerde ücretsiz kullanımdan sonra bir güvenlik açığı olan CVE-2023-1811’i içerir. Kalan 14 güvenlik hatası, orta veya düşük etkiye sahip olarak derecelendirilir.
Ayın ortasında Google, bu sefer biri gerçek hayattaki saldırılarda kullanılmakta olan iki kusuru düzeltmek için bir acil durum güncellemesi yayınlamak zorunda kaldı. CVE-2023-2033, V8 JavaScript motorunda bir tür karışıklık kusurudur. Yazılım devi blogunda “Google, CVE-2023-2033 için bir açıktan yararlanmanın vahşi ortamda var olduğunun farkındadır” dedi.
Sadece birkaç gün sonra Google, Skia grafik motorunda bir tamsayı taşması hatası olan CVE-2023-2136 olarak izlenen başka bir sıfır gün kusuru da dahil olmak üzere sorunları gideren başka bir yama yayınladı.