Ocak ayının sonlarına doğru Google, Chrome 121’i kararlı kanalda yayınladı ve 17 güvenlik sorununu düzeltti; bunlardan üçü yüksek etkiye sahip olarak değerlendirildi. Bunlar arasında WebAudio’daki bir serbest kullanım sonrası kusur olan CVE-2024-0807 ve erişilebilirlikte uygunsuz bir uygulama güvenlik açığı olan CVE-2024-0812 yer alıyor. Son yüksek etkili güvenlik açığı, WebUI’da bir tam sayı eksikliği olan CVE-2024-0808’dir.
Açıkçası, bu güncellemeler önemlidir, bu nedenle mümkün olan en kısa sürede bunları kontrol edin ve uygulayın.
Microsoft
Microsoft’un Ocak Yaması Salı, popüler yazılımındaki 12 uzaktan kod yürütme (RCE) kusuru da dahil olmak üzere yaklaşık 50 hatayı ortadan kaldırıyor.
Bu ayki güncellemelerde yer alan hiçbir güvenlik açığının saldırılarda kullanıldığı bilinmiyor ancak kayda değer kusurlar arasında Microsoft Office’te bulunan ve saldırganların gömülü FBX 3D model dosyalarını içeren kötü amaçlı belgeler oluşturmasına olanak tanıyan bir hata olan CVE-2024-20677 yer alıyor. kod.
Bu güvenlik açığını azaltmak amacıyla, Windows ve Mac için Word, Excel, PowerPoint ve Outlook’ta FBX dosyalarını ekleme özelliği devre dışı bırakıldı. Microsoft, bu özelliğin etkin olduğu Office sürümlerinin artık bu özelliğe erişemeyeceğini söyledi.
Bu arada CVE-2024-20674, CVSS puanı 8,8 ile kritik olarak derecelendirilen bir Windows Kerberos güvenlik özelliği atlama güvenlik açığıdır. Microsoft, bu güvenlik açığına ilişkin bir senaryoda, saldırganın kurbanı, saldırgan tarafından kontrol edilen kötü amaçlı bir uygulamaya bağlanmaya ikna edebileceğini söyledi. Yazılım devi, “Bağlantı kurulduğunda kötü amaçlı sunucu protokolü tehlikeye atabilir” diye ekledi.
Mozilla Firefox
Pazarın önde gelen rakibi Chrome’un hemen ardından Mozilla’nın Firefox’u, son güncellemesinde 15 güvenlik açığını düzeltti. Hatalardan beşi yüksek önem derecesine sahip olarak derecelendirildi; bunlar arasında Angle’da bir saldırganın belleği bozmasına ve yararlanılabilir bir çökmeye yol açabilecek sınır dışı yazma sorunu olan CVE-2024-0741 de bulunuyor.
CVE-2024-0743 olarak izlenen TLS el sıkışma kodundaki denetlenmeyen bir dönüş değeri de istismar edilebilir bir çökmeye neden olabilir.
CVE-2024-0755, Firefox 122, Firefox ESR 115.7 ve Thunderbird 115.7’de düzeltilen bellek güvenliği hatalarını kapsar. Mozilla, “Bu hatalardan bazıları hafıza bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunlardan bazılarının rastgele kod çalıştırmak için kullanılabileceğini varsayıyoruz” dedi.
Cisco
Kurumsal yazılım devi Cisco, birden fazla Cisco Tümleşik İletişim ve İletişim Merkezi Çözümleri ürününde, kimliği doğrulanmamış, uzaktaki bir saldırganın etkilenen cihazda rastgele kod yürütmesine olanak verebilecek bir güvenlik açığını düzeltti.
CVE-2024-20253 olarak izlenen ve CVSS puanı 9,9 olan Cisco, bir saldırganın, etkilenen cihazın dinleme bağlantı noktasına hazırlanmış bir mesaj göndererek bu güvenlik açığından yararlanabileceğini söyledi.
Cisco, “Başarılı bir istismar, saldırganın temeldeki işletim sistemi üzerinde web hizmetleri kullanıcısının ayrıcalıklarıyla keyfi komutlar yürütmesine olanak tanıyabilir” dedi. “Saldırgan, temel işletim sistemine erişim sayesinde etkilenen cihazda root erişimi de sağlayabilir” uyarısında bulundu.
SAP’nin
SAP, Ocak Güvenlik Yaması Günü kapsamında, CVSS puanı 9,1 olan çeşitli sorunları içeren 10 yeni güvenlik düzeltmesi yayınladı. CVE-2023-49583, SAP Business Application Studio, SAP Web IDE Full-Stack ve SAP Web IDE for SAP HANA aracılığıyla geliştirilen uygulamalardaki bir ayrıcalık artışı sorunudur.
Bu arada, CVE-2023-50422 ve CVE-2023-49583, SAP Edge Integration Cell’deki ayrıcalık artışı sorunlarıdır.
Dikkate değer bir diğer kusur ise SAP Application Interface Framework’teki bir kod enjeksiyon güvenlik açığı olan ve CVSS puanı 8,4 olan CVE-2024-21737’dir. Güvenlik firması Onapsis, “Uygulamanın savunmasız bir işlev modülü, bir saldırganın çeşitli katmanlardan geçmesine ve işletim sistemi komutlarını doğrudan yürütmesine olanak tanıyor” dedi. “Başarılı istismarlar uygulamanın gizliliği, bütünlüğü ve kullanılabilirliği üzerinde önemli etkiye neden olabilir.”