Bu arada, Google’ın Project Zero’daki araştırmacıları, Samsung tarafından üretilen Exynos Modemlerde 18 sıfır gün güvenlik açığı bildirdi. Araştırmacılar bir blogda, en ciddi dört tanesinin (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 ve CVE-2023-26498) internetten taban banda uzaktan kod yürütülmesine izin verdiğini yazdı. “Project Zero tarafından gerçekleştirilen testler, dört güvenlik açığının bir saldırganın, hiçbir kullanıcı etkileşimi olmaksızın temel bant düzeyinde bir telefonu uzaktan ele geçirmesine izin verdiğini ve yalnızca saldırganın kurbanın telefon numarasını bilmesini gerektirdiğini doğruladı” diye yazdılar.
Etkilenen cihazlar arasında S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ve A04 serilerinin yanı sıra Google’ın Pixel 6 ve Pixel 7 serileri yer alıyor.
Yama zaman çizelgeleri, üreticiye göre değişir, ancak etkilenen Pixel cihazları, ciddi internetten ana banda uzaktan kod yürütme güvenlik açıklarının dördü için bir düzeltme aldı. Google, bu arada, etkilenen cihazlara sahip kullanıcıların cihaz ayarlarında Wi-Fi aramasını ve Voice-over-LTE’yi (VoLTE) kapatarak kendilerini koruyabileceklerini söyledi.
Google Chrome
Google, popüler tarayıcısı Chrome 111’i piyasaya sürdü ve yedisi yüksek önem derecesine sahip bellek güvenliği hataları olan sekiz güvenlik açığını düzeltti. Ücretsiz kullanımdan sonra dört güvenlik açığı, Parolalar’da CVE-2023-1528 olarak izlenen yüksek önem dereceli bir sorunu ve WebHID’de sınırların dışında bir bellek erişim kusuru olan CVE-2023-1529’u içerir.
Bu arada, CVE-2023-1530, Birleşik Krallık Ulusal Siber Güvenlik Merkezi tarafından bildirilen PDF’deki bir ücretsiz kullanımdan sonra hatadır ve CVE-2023-1531, ANGLE’da yüksek önem dereceli bir ücretsiz kullanımdan sonra güvenlik açığıdır.
Google tarafından saldırılarda kullanıldığı bilinen sorunların hiçbiri, ancak etkileri göz önüne alındığında, mümkün olduğunda Chrome’u güncellemek mantıklıdır.
Cisco
Kurumsal yazılım devi Cisco, IOS ve IOS XE Yazılımı için yılda iki kez güvenlik paketi yayınlayarak 10 güvenlik açığını düzeltti. Hizmet reddi hatası olan CVE-2023-20080 ve bir ayrıcalık yükseltme hatası olan CVE-2023-20065 dahil olmak üzere Cisco tarafından düzeltilen sorunlardan altısı yüksek etkiye sahip olarak derecelendirildi.
Ayın başında Cisco, bazı Cisco IP Telefonlarının web tabanlı yönetim arayüzünde, kimliği doğrulanmamış, uzaktaki bir saldırganın rastgele kod yürütmesine veya hizmet reddine neden olmasına izin verebilecek birden çok güvenlik açığını düzeltti. CVSS puanı 9,8 olan en kötüsü, Cisco IP Phone 6800, 7800 ve 8800 serisi çok platformlu telefonların web tabanlı yönetim arabirimindeki bir güvenlik açığı olan CVE-2023-20078’dir.
Cisco, bir saldırganın web tabanlı yönetim arayüzüne hazırlanmış bir istek göndererek bu güvenlik açığından yararlanabileceğini belirterek, “Başarılı bir açıktan yararlanma, saldırganın etkilenen bir cihazın temel işletim sistemi üzerinde rasgele komutlar yürütmesine izin verebilir” dedi.
Firefox
Gizlilik bilincine sahip geliştirici Mozilla, Firefox 111’i piyasaya sürdü ve yedi tanesi yüksek etkiye sahip olarak derecelendirilen 13 güvenlik açığını düzeltti. Bunlar, Android için Firefox’taki CVE-2023-25749 da dahil olmak üzere üçüncü taraf uygulamalarının sorulmadan açılmasına neden olabilecek üç kusur içerir.
Bu arada, iki bellek güvenlik hatası, CVE-2023-28176 ve CVE-2023-28177, Firefox 111’de düzeltildi. keyfi kod çalıştırmak için istismar edildi,” dedi Mozilla.
SAP
Mart Güvenlik Yaması Günü kılavuzunda 19 yeni güvenlik notu yayınlayan yazılım üreticisi SAP için bir başka büyük güncelleme ayı daha. Ay boyunca düzeltilen sorunlar arasında, CVSS puanı 9’un üzerinde olan dört sorun yer alıyor.
Bunların en kötülerinden biri, SAP Business Objects Business Intelligence Platform’daki bir kod enjeksiyon güvenlik açığı olan CVE-2023-25616’dır. Güvenlik şirketi Onapsis, Merkezi Yönetim Konsolundaki bu güvenlik açığının, bir saldırganın sistemin bütünlüğü, gizliliği ve kullanılabilirliği üzerinde “güçlü bir olumsuz etki” ile rastgele kod enjekte etmesine izin verdiğini söyledi.
Son olarak, CVSS puanı 9,9 olan CVE-2023-23857, Java için SAP NetWeaver AS’deki uygun olmayan bir erişim denetimi hatasıdır. Onapsis, “Güvenlik açığı, kimliği doğrulanmamış bir saldırganın açık bir arayüze bağlanmasına ve hizmetlere erişmek için açık bir adlandırma ve dizin API’si kullanmasına izin veriyor” dedi.