Yaz yazılım güncellemeleri Apple, Google ve Microsoft’un Haziran ayında ciddi güvenlik açıkları için birden çok yama yayınlamasıyla birlikte yoğun ve hızlı bir şekilde geliyor. Kurumsal yazılım firmaları da VMWare, Cisco, Fortinet ve Progress Software’in MOVEit ürünlerindeki korkunç delikler için yayınlanan düzeltmelerle meşguldü.
Ay boyunca ortadan kaldırılan önemli sayıda güvenlik hatası gerçek hayattaki saldırılarda kullanılıyor, bu nedenle okumaya devam edin, not alın ve etkilenen sistemlerinize mümkün olan en kısa sürede yama uygulayın.
Elma
Haziran, iOS 16.5’in hemen ardından, acil bir iPhone yükseltmesi olan iOS 16.5.1’in piyasaya sürüldüğünü gördü. En son iPhone güncellemesi, Safari’nin temelini oluşturan motor olan WebKit’teki ve iOS sisteminin kalbindeki çekirdekteki güvenlik açıklarını düzeltir.
Apple, destek sayfasında CVE-2023-32439 ve CVE-2023-32434 olarak izlenen her iki sorunun da kod yürütme hataları olduğunu ve gerçek hayattaki saldırılarda kullanıldığını söyledi.
Halihazırda yararlanılan kusurlarla ilgili ayrıntılar sınırlı olsa da, güvenlik ekibi Kaspersky açıklığa kavuşmuş çekirdek sorununun personeline karşı “iOS Üçgenleştirme” saldırıları gerçekleştirmek için nasıl kullanıldığı. Kullanıcıdan herhangi bir etkileşim gerektirmedikleri için etkili olan “sıfır tıklama” saldırıları, casus yazılım dağıtmak için kötü amaçlı bir ek içeren görünmez bir iMessage kullanır.
Apple ayrıca, Çekirdek ve WebKit sorunlarını gideren eski iPhone’lar için iOS 15.7.7’nin yanı sıra CVE-2023-32435 olarak izlenen ikinci bir WebKit kusurunu da yayınladı; bu, Kaspersky tarafından iOS Üçgenleme saldırılarının bir parçası olarak da bildirildi.
Bu arada Apple, Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8 , watchOS 9.5.2 ve watchOS 8.8.1’i piyasaya sürdü.
Microsoft
Microsoft’un Haziran ayı ortasındaki Salı Yaması, 28 uzaktan kod yürütme (RCE) hatası da dahil olmak üzere 78 güvenlik açığı için güvenlik güncelleştirmeleri içeriyor. Sorunlardan bazıları ciddi olsa da, Mart ayından bu yana halihazırda kullanılmış kusurları içermeyen ilk Salı Yaması.
Haziran güncellemesinde yamalanan kritik sorunlar arasında Microsoft SharePoint Server’da CVSS puanı 9,8 olan bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2023-29357 yer alıyor. Microsoft, “Sahte JWT kimlik doğrulama belirteçlerine erişim sağlayan bir saldırgan, kimlik doğrulamasını atlayan ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarına erişmelerine izin veren bir ağ saldırısı gerçekleştirmek için bunları kullanabilir.” dedi.
Saldırganın herhangi bir ayrıcalığa ihtiyacı olmadığı gibi kullanıcının herhangi bir işlem yapmasına da gerek yoktur.
Bu arada, CVE-2023-32031 ve CVE-2023-28310, bir saldırganın istismar etmesi için kimliğinin doğrulanmasını gerektiren Microsoft Exchange Server uzaktan kod yürütme güvenlik açıklarıdır.
Google Android
Teknoloji devi Haziran Güvenlik Bülteni’ni yayınladığı için Google Android cihazınızı güncelleme zamanı. Google tarafından düzeltilen en ciddi sorun, Sistem bileşeninde CVE-2023-21108 olarak izlenen ve hiçbir ek yürütme ayrıcalığı gerekmeden Bluetooth üzerinden RCE’ye yol açabilen kritik bir güvenlik açığıdır. CVE-2023-21130 olarak izlenen Sistemdeki bir diğer kusur da kritik olarak işaretlenen bir RCE hatasıdır.
Haziran güncellemesinde yamalanan kusurlardan biri, çip üreticisinin saldırılarda kullanıldıktan sonra 2022’de Arm bileşenlerinde düzelttiği bir güvenlik açığı olan CVE-2022-22706’dır.