şubat oldu ciddi güvenlik açıklarını gidermek için yamalar yayınlayan Apple, Microsoft ve Google gibi güvenlik güncellemeleri için büyük bir ay. Bu arada, VMware, SAP ve Citrix gibi firmalar tarafından bir dizi kurumsal hata ezildi.
Ay boyunca düzeltilen kusurlar arasında gerçek hayattaki saldırılarda kullanılanların birçoğu yer alıyor, bu nedenle yazılımınızın güncel olup olmadığını kontrol etmekte fayda var.
Bu ay yayınlanan güvenlik güncellemeleri hakkında bilmeniz gereken her şey burada.
Apple iOS ve iPadOS 16.3.1
iOS 16.3’ün piyasaya sürülmesinden sadece haftalar sonra Apple, iOS ve iPadOS 16.3.1’i yayımladı.
Apple, destek sayfasında CVE-2023-23529 olarak izlenen, zaten istismar edilen hatanın rastgele kod yürütülmesine yol açabileceği konusunda uyardı. Firma, “Apple, bu sorunun aktif olarak kullanılmış olabileceğine dair bir raporun farkında” dedi. iOS 16.3.1’de yamalanan başka bir kusur, iPhone işletim sisteminin kalbindeki Çekirdek’tedir. CVE-2023-23514 olarak izlenen hata, bir saldırganın Kernel ayrıcalıklarıyla rasgele kod yürütmesine izin verebilir.
Ayın ilerleyen saatlerinde Apple, iOS 16.3.1, CVE-2023-23524’te düzeltilen başka bir güvenlik açığını belgeledi. Tarafından rapor edildi david benjaminGoogle’da bir yazılım mühendisi olan kusur, kötü amaçlarla oluşturulmuş bir sertifika aracılığıyla bir hizmet reddi saldırısına olanak sağlayabilir.
Apple ayrıca ay boyunca macOS Ventura 13.2.1, tvOS 16.3.2 ve watchOS 9.3.1’i piyasaya sürdü.
Microsoft
Şubat ortasında Microsoft, Salı Yaması’nın üçü halihazırda saldırılarda kullanılmakta olan 76 güvenlik açığını giderdiği konusunda uyardı. Microsoft’un güncelleme kılavuzuna göre kusurlardan yedisi kritik olarak işaretlendi.
CVE-2023-21823 olarak izlenen, Windows grafik bileşeninde hâlihazırda istismar edilen hataların en ciddilerinden biri, bir saldırganın Sistem ayrıcalıkları kazanmasına izin verebilir.
Zaten yararlanılan başka bir kusur olan CVE-2023-21715, Microsoft Publisher’daki bir özelliği atlama sorunudur; CVE-2023-23376 ise Windows ortak günlük dosya sistemi sürücüsündeki bir ayrıcalık yükseltme güvenlik açığıdır.
Bu, bir sürümde düzeltilen pek çok sıfır gün hatasıdır, bu nedenle bunu Microsoft tabanlı sistemlerinizi mümkün olan en kısa sürede güncellemeniz için bir uyarı olarak kabul edin.
Google Android
Android’in teknoloji devinin akıllı telefon yazılımını çalıştıran cihazlardaki birden çok güvenlik açığını gideren Şubat ayı güvenlik güncellemesi burada. Google’ın bir danışma belgesinde belirttiğine göre, bu sorunlardan en ciddi olanı, hiçbir ek ayrıcalık gerektirmeden yerel olarak ayrıcalık artışına yol açabilecek Çerçeve bileşenindeki bir güvenlik açığıdır.
Çerçevede düzeltilen sorunlar arasında sekiz tanesi yüksek etkiye sahip olarak derecelendirildi. Bu arada Google, Çekirdekteki altı hatanın yanı sıra Sistem, MediaTek ve Unisoc bileşenlerindeki kusurları da ortadan kaldırdı.
Ay boyunca Google, birden fazla ayrıcalık yükseltme kusurunun yanı sıra bilgi ifşası ve hizmet reddi güvenlik açıklarını yamaladı. Şirket ayrıca Pixel’e özgü üç güvenlik sorunu için bir yama yayınladı. Android Şubat yaması Google’ın Pixel cihazları için zaten mevcutken, Samsung güncellemeyi Galaxy Note 20 serisi kullanıcılarına yayınlamak için hızla harekete geçti.
Google Chrome
Google, tarayıcısı için üçü yüksek etkiye sahip olarak derecelendirilen 15 güvenlik açığını gideren Chrome 110’u piyasaya sürdü. CVE-2023-0696 olarak izlenen bunlardan ilki, Google’ın bir güvenlik danışma belgesinde yazdığına göre V8 JavaScript motorundaki bir tür karışıklık hatasıdır.
Bu arada, CVE-2023-0697, tam ekran modunda uygunsuz uygulamaya izin veren bir kusurdur ve CVE-2023-0698, WebRTC’de sınırların dışında bir okuma kusurudur. Dört orta düzey güvenlik açığı, GPU’da serbest kaldıktan sonra kullanım, WebUI’de bir yığın arabellek taşması kusuru ve Veri Aktarımı’nda bir tür karışıklığı güvenlik açığı içerir. İki kusur daha düşük etkiye sahip olarak derecelendirildi.