Yazılım güncellemelerinizi kontrol etme zamanı geldi. Mart ayında Apple'ın iOS'u, Google'ın Chrome'u ve gizliliğe duyarlı rakibi Firefox için önemli yamaların yayımlandığı görüldü. Hatalar ayrıca Cisco, VMware ve SAP gibi kurumsal yazılım devleri tarafından da bastırıldı.
Mart ayında yayınlanan güvenlik güncellemeleri hakkında bilmeniz gerekenleri burada bulabilirsiniz.
elma iOS'u
Apple, Mart ayında iki ayrı yama yayınlayarak Şubat ayının sakin geçmesini telafi etti. Ayın başında iPhone üreticisi iOS 17.4'ü piyasaya sürerek, halihazırda gerçek hayattaki saldırılarda kullanılan iki sorun da dahil olmak üzere 40'tan fazla kusuru giderdi.
CVE-2024-23225 olarak takip edilen iPhone Çekirdeğindeki ilk hata, bir saldırganın bellek korumalarını atlamasına olanak tanıyor. iPhone üreticisi destek sayfasında “Apple bu sorunun kötüye kullanılmış olabileceğine dair bir raporun farkında” dedi.
CVE-2024-23296 olarak takip edilen ikinci kusur, AirPod'lar dahil cihazlarda kullanılan gerçek zamanlı işletim sistemi olan RTKit'te, bir saldırganın Çekirdek bellek korumalarını atlamasına da izin verebilir.
Mart ayının sonlarına doğru Apple, iOS 17.4.1 adlı ikinci bir yazılım güncellemesi yayınladı ve bu kez iPhone yazılımındaki iki kusuru düzeltti; her ikisi de CVE-2024-1580 olarak takip ediliyor. Bir saldırgan, iOS 17.4.1'de yamalanan sorunları kullanarak, birini bir görüntüyle etkileşime girmeye ikna ederse kod çalıştırabilir.
Apple, iOS 17.4.1'i yayınladıktan kısa bir süre sonra aynı hataları düzeltmek amacıyla diğer cihazları için de yamalar yayınladı: Safari 17.4.1, macOS Sonoma 14.4.1 ve macOS Ventura 13.6.6.
Google Chrome
Mart, Chrome tarayıcısındaki birçok kusuru düzelten Google için yine yoğun bir aydı. Ayın ortasında Google, V8'de yüksek önem derecesine sahip bir nesne yaşam döngüsü sorunu olan CVE-2024-2625 için bir düzeltme de dahil olmak üzere 12 yama yayınladı.
Orta önemdeki sorunlar arasında Swiftshader'da bir sınır dışı okuma hatası olan CVE-2024-2626; CVE-2024-2627, Canvas'taki ücretsiz kullanım sonrası kusur; ve İndirmelerde uygunsuz bir uygulama sorunu olan CVE-2024-2628.
Ayın sonunda Google, ANGLE'da CVE-2024-2883 olarak takip edilen kritik bir serbest kullanım sonrası kusur için bir yama da dahil olmak üzere yedi güvenlik düzeltmesi yayınladı. CVE-2024-2885 ve CVE-2024-2886 olarak takip edilen iki serbest kullanım sonrası hataya daha yüksek önem derecesi verildi. Bu arada CVE-2024-2887, WebAssembly'deki bir tür karışıklığı kusurudur.
Son iki sorun, Pwn2Own 2024 bilgisayar korsanlığı yarışmasında istismar edildi; bu nedenle Chrome tarayıcınızı en kısa sürede güncellemelisiniz.
Mozilla Firefox
Mozilla Firefox, Pwn2Own'da istismar edilen iki sıfır gün güvenlik açığını düzelttikten sonra yoğun bir Mart ayı geçirdi. CVE-2024-29943, sınırların dışında bir erişim atlama sorunudur; CVE-2024-29944 ise Olay İşleyicilerinde korumalı alandan kaçışa yol açabilecek ayrıcalıklı bir JavaScript Yürütme kusurudur. Her iki konu da kritik etkiye sahip olarak değerlendiriliyor.
Ayın başlarında Mozilla, Windows işletim sistemlerini etkileyen bir sanal alandan kaçış kusuru olan CVE-2024-2605 de dahil olmak üzere 12 güvenlik sorununu gidermek için Firefox 124'ü piyasaya sürdü. Mozilla, bir saldırganın sistemde rastgele kod çalıştırmak için Windows Error Reporter'ı kullanarak sanal alandan kaçabileceğini söyledi.
CVE-2024-2615, Firefox 124'te kritik dereceli bellek güvenliği hatalarının düzeltildiğini görüyor. “Bu hatalardan bazıları bellek bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunun gerçekleşeceğini varsayıyoruz.” [they] Mozilla, “rastgele kod çalıştırmak için istismar edilmiş olabilir” dedi.
Google Android
Google, sistem bileşenindeki iki kritik hata da dahil olmak üzere mobil işletim sistemindeki yaklaşık 40 sorunu gideren Mart Android Güvenlik Bülteni'ni yayınladı. CVE-2024-0039 bir uzaktan kod yürütme kusuru iken CVE-2024-23717 bir ayrıcalık yükselmesi güvenlik açığıdır.
Google, tavsiye belgesinde, “Bu sorunlardan en ciddi olanı, Sistem bileşeninde, hiçbir ek yürütme ayrıcalıklarına gerek kalmadan uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığıdır” dedi.