Apple, Google ve Microsoft, halihazırda saldırılarda kullanılan birden çok güvenlik açığını gidermek için bu ay büyük yamalar yayınladı. Mayıs ayı, kurumsal yazılımlar için de kritik bir aydı; GitLab, SAP ve Cisco, ürünlerindeki birçok hata için düzeltmeler yayınladı.
Mayıs ayında yayınlanan güvenlik güncellemeleri hakkında bilmeniz gereken her şey burada.
Apple iOS ve iPadOS 16.5
Apple, üçü halihazırda gerçek hayattaki saldırılarda kullanılmakta olan 39 sorunu ele alan, uzun zamandır beklenen nokta güncellemesi iOS 16.5’i yayınladı. iOS yükseltmesi, işletim sisteminin kalbindeki Çekirdek’teki ve Safari tarayıcısına güç veren motor olan WebKit’teki güvenlik açıklarını yamalar. Halihazırda yararlanılan üç kusur, WebKit’te düzeltilen beş hata arasındadır; CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373 olarak izlenir.
Google’ın Tehdit Analizi Grubu’ndan Clément Lecigne ve Uluslararası Af Örgütü Güvenlik Laboratuvarı’ndan Donncha Ó Cearbhaill tarafından bildirilen CVE-2023-32409, bir saldırganın Web İçeriği korumalı alanından uzaktan çıkmasına olanak verebilecek bir sorundur. CVE-2023-28204, kullanıcının hassas bilgileri ifşa etme riskini taşıyan bir kusurdur. Son olarak, CVE-2023-32373, rasgele kod yürütülmesini sağlayabilen bir ücretsiz kullanımdan sonra hatadır.
Ayın başlarında Apple, iOS 16.4.1 (a) ve iPadOS 16.4.1 (a) sürümlerini yayınladı; bu, iPhone üreticisinin ilk Rapid Security Response güncellemesiydi ve istismar edilen son iki WebKit güvenlik açığını düzeltiyordu ve iOS 16.5’te yamalanmıştı.
Apple iOS ve iPadOS 16.5, eski iPhone’lar için iOS 15.7.6 ve iPadOS 15.7.6’nın yanı sıra Windows için iTunes 12.12.9, Safari 16.5, macOS Big Sur 11.7.7, macOS Ventura 13.4 ve macOS Monterey 12.6 ile birlikte yayınlandı. 6.
Apple ayrıca Beats ve AirPods kulaklıklar için ilk güvenlik güncellemesini yayınladı.
Microsoft
Microsoft’un Salı ayı ortasındaki Yaması, ikisi hâlihazırda saldırılarda kullanılan sıfır gün kusurları olan 40 güvenlik sorununu düzeltti. İlk sıfır gün güvenlik açığı olan CVE-2023-29336, Win32k sürücüsünde bir saldırganın Sistem ayrıcalıkları kazanmasına izin verebilecek bir ayrıcalık yükselmesi hatasıdır.
İkinci ciddi kusur olan CVE-2023-24932, ayrıcalıklı bir saldırganın kod yürütmesine izin verebilecek Güvenli Önyükleme güvenlik özelliğini atlama sorunudur. Microsoft, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan Güvenli Önyükleme’yi atlayabilir” dedi ve kusurdan yararlanmanın zor olduğunu da sözlerine ekledi: “Bu güvenlik açığından başarıyla yararlanılması, bir saldırganın cihazdaki yönetici kimlik bilgilerini tehlikeye atmasını gerektirir.”
Güvenlik güncellemesi tam bir düzeltme değil: Şirket, sorunlara neden olabilecek Windows Önyükleme Yöneticisini güncelleyerek güvenlik açığını giderdiği konusunda uyardı. Microsoft, etkilenen kullanıcıların sorunu azaltmak için atabilecekleri adımlara işaret ederek, güvenlik açığını azaltmak için şu anda ek adımlar gerektiğini söyledi.
Google Android
Google, zaten istismar edilmiş bir Çekirdek güvenlik açığı da dahil olmak üzere 40 kusuru düzelten en son Android güvenlik yamalarını yayınladı. Güncellemeler ayrıca Android Framework, System, Kernel, MediaTek, Unisoc ve Qualcomm bileşenlerindeki sorunlara yönelik düzeltmeleri de içerir.
Google, bu sorunlardan en ciddisinin, Framework bileşeninde yerel olarak ayrıcalık artışına yol açabilecek yüksek önem dereceli bir güvenlik açığı olduğunu belirterek, istismar için kullanıcı etkileşiminin gerekli olduğunu da sözlerine ekledi.
Daha önce ticari casus yazılım satıcılarıyla bağlantılı olan CVE-2023-0266, yerel ayrıcalık artışına yol açabilecek bir Çekirdek sorunudur. Sömürü için kullanıcı etkileşimi gerekli değildir.