Ayın başlarında Google, başlangıçta CVE-2023-4863 olarak takip edilen ve yalnızca Chrome tarayıcısını etkilediğini düşündüğü bir yığın arabellek taşması sorunu olan başka bir sıfır gün kusurunu düzeltti. Ancak sorunu çözdükten iki hafta sonra araştırmacılar, sorunun düşündüklerinden daha kötü olduğunu ve WebP formatında görüntülerin işlenmesi için yaygın olarak kullanılan libwebp görüntü kitaplığını etkilediğini keşfettiler.
Artık CVE-2023-5129 olarak izlenen hatanın, WebP görüntülerini işlemek için libwebp kitaplığını kullanan her uygulamayı etkilediği düşünülüyor. Güvenlik firması Rezilion bir blogda şöyle yazdı: “Bu güvenlik açığının kapsamı başlangıçta varsayıldığından çok daha geniştir ve dünya çapında milyonlarca farklı uygulamayı etkilemektedir.”
Güvenlik ekibi aynı zamanda libwebp kütüphanesindeki temel sorunun, NSO Group’un Pegasus’unu dağıtmak için BLASTPASS istismar zincirinin bir parçası olarak kullanılan Apple kusurlarından biri olan CVE-2023-41064 ile sonuçlanan sorunla aynı olduğunun “büyük olasılıkla” olduğunu düşünüyor. casus yazılım.
Microsoft
Microsoft’un Eylül Yaması Salı, ikisi halihazırda saldırganlar tarafından istismar edilen yaklaşık 65 kusuru düzelttiği için hatırlanması gereken bir yama. CVE-2023-36761 olarak izlenen ilk güvenlik açığı, NTLM karmalarının açığa çıkmasına izin verebilecek bir Microsoft Word bilginin açığa çıkması güvenlik açığıdır.
İkinci ve en ciddi kusur, Microsoft Streaming Service Proxy’de CVE-2023-36802 olarak izlenen bir ayrıcalık yükseltme güvenlik açığıdır. Microsoft, bu güvenlik açığından başarıyla yararlanan bir saldırganın sistem ayrıcalıkları kazanabileceğini belirterek, kusurdan yararlanıldığının tespit edildiğini de sözlerine ekledi.
Her iki kusur da önemli olarak işaretlendiğinden, cihazlarınızı mümkün olan en kısa sürede güncellemeniz iyi bir fikirdir.
Mozilla Firefox
Firefox, Mozilla’nın gizlilik bilincine sahip tarayıcısındaki 10 kusuru düzeltmesinin ardından yoğun bir ay geçirdi. CVE-2023-5168, FilterNodeD2D1’de Windows’ta Firefox’u etkileyen, yüksek etkiye sahip olarak değerlendirilen bir sınır dışı yazma hatasıdır.
CVE-2023-5170, ayrıcalıklı bir işlemden bellek sızıntısına neden olabilecek bir kusurdur. Firefox’un sahibi Mozilla, bir danışma belgesinde, doğru verilerin sızdırılması durumunda bunun sanal alandan kaçışı gerçekleştirmek için kullanılabileceğini söyledi.
Bu arada CVE-2023-5176, Firefox 118, Firefox ESR 115.3 ve Thunderbird 115.3’te düzeltilen bellek güvenliği hatalarını kapsar. Mozilla, “Bu hatalardan bazıları hafıza bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunlardan bazılarının rastgele kod çalıştırmak için kullanılabileceğini varsayıyoruz” dedi.
Cisco
Ayın başında Cisco, Cisco BroadWorks Uygulama Dağıtım Platformu ve Cisco BroadWorks Xtending Hizmetler Platformu’nun tek oturum açma uygulamasındaki, kimliği doğrulanmamış, uzak bir saldırganın etkilenen bir sisteme erişmek için kimlik bilgilerini taklit etmesine izin verebilecek bir güvenlik açığına yönelik bir yama yayınladı. CVE-2023-20238 olarak takip edilen kusura maksimum 10 CVSS puanı verildi.
Yine bu ay Cisco, halihazırda Akira fidye yazılımı saldırılarında kullanılan Adaptive Security Appliance ve Firepower Threat Defense yazılımlarına sıfır gün yaması uyguladı. CVE-2023-20269 olarak izlenen ve orta şiddette CVSS puanı 5 olan, Cisco Adaptive Security Appliance (ASA) Yazılımı ve Cisco Firepower Threat Defense (FTD) Yazılımının uzaktan erişim VPN özelliğindeki güvenlik açığı, kimliği doğrulanmamış, uzaktan bir saldırgana izin verebilir Geçerli kullanıcı adı ve şifre kombinasyonlarını tanımlamak için kaba kuvvet saldırısı gerçekleştirmek.
SAP
Kurumsal yazılım firması SAP, Eylül Güvenlik Yaması Günü kapsamında birçok önemli düzeltme yayınladı. Buna, SAP BusinessObjects Business Intelligence Platform’da CVSS puanı 9,9 olan bir bilgi ifşaat güvenlik açığı olan CVE-2023-40622 için bir yama da dahildir. Güvenlik firması Onapsis, “Başarılı bir istismar, sonraki saldırılarda kullanılabilecek bilgileri sağlayarak uygulamanın tamamen ele geçirilmesine yol açar” dedi.
CVE-2023-40309, SAP CommonCryptoLib’de CVSS puanı 9,8 olan eksik bir yetkilendirme kontrolü sorunudur. Onapsis, kusurun ayrıcalıkların artmasına neden olabileceğini ve en kötü durumda saldırganların etkilenen uygulamayı tamamen tehlikeye atabileceğini söyledi.
Bu arada CVE-2023-42472, CVSS puanı 8,7 olan SAP BusinessObjects Business Intelligence Platform’da yetersiz bir dosya türü doğrulama hatasıdır.