Dünya çapında yazılım ürünlerinde her gün 70’e yakın yeni güvenlik açığı keşfediliyor. Bu, her yıl neredeyse 25.550 yeni sorun anlamına geliyor ve bunların kabaca 4.250’si (veya altıda biri) “kritik” olarak sınıflandırılacak.
Ancak “kritik” sınıflandırmaların ötesinde çok az rehberlik olduğundan ve kritik olmayan güvenlik açıklarının yıkıcı kötü amaçlı yazılım saldırıları için hâlâ istismar edilme potansiyeli olduğundan, kaynakları kısıtlı olan BT kuruluşlarının yardıma ihtiyacı var. BT ekipleri, önce hangisini düzelteceklerini bilmiyorlarsa, potansiyel olarak binlerce güvenlik açığı arasından nasıl öncelik verebilirler?
Malwarebytes, bilinen uç noktalardaki en yaygın “kritik” ve “önemli” yama yapılmamış güvenlik açıklarını ortaya çıkarmak için artık tüm ThreaDown paketlerine hiçbir ek ücret ödemeden dahil edilen ThreatDown Güvenlik Açığı Değerlendirme modülü tarafından belirlenen güvenlik açıklarını analiz etti.
Derlenen güvenlik açıkları dört ana yazılım ürününde ortaya çıkıyor:
- Adobe Flash Player
- Adobe Acrobat okuyucu
- VideoLan VLC Medya Oynatıcısı
- Yakınlaştır
En yaygın güvenlik açıkları:
En yaygın 100 yama uygulanmamış güvenlik açığında çoğunluk (100 üzerinden 93’ü) Adobe, Zoom ve yazılımlarında bulunur Mozilla. [MOU3]
Kritik olarak listelenen hiçbir güvenlik açığı, en yaygın 100 güvenlik açığı arasına girmedi. Ancak kritik bir güvenlik açığı çok yakındı: Adobe Flash Player’daki CVE-2020-9633. Adobe’nin daha sonraki Flash Player sürümlerinde Flash Player’ın 12 Ocak 2021’den sonra çalışmasını ve herhangi bir Flash içeriğini oynatmasını engelleyecek bir saatli bombayı sessizce uygulamaya koyması nedeniyle Flash’ın savunmasız sürümü hâlâ kullanılıyor. Dolayısıyla, belirli Flash içeriğine sahip kuruluşların oynatmaları gerekiyor genellikle bu savunmasız sürüme geri dönmek için.
Buna bağlı olarak, “Kritik” olarak etiketlenen en yaygın güvenlik açıkları, dört farklı üst düzey katkıda bulunan daha çeşitli yazılım sağlayıcıları grubundan gelmektedir:
- %30 UltraVNC (Sunucu ve Görüntüleyici)
- %20 Python (sürüm 3.6 ila 3.10)
- %18 Microsoft (Edge ve Visual Studio)
- %14 Adobe (Flash Player, Acrobat ve Reader)
Malwarebytes tarafından desteklenen ThreatDown tarafından ortaya çıkarılan en önemli 5 yama yapılmamış kritik güvenlik açığının ve en iyi 5 yama yapılmamış önemli güvenlik açığının ayrıntılarını görmek için okumaya devam edin.
En önemli 5 yama yapılmamış KRİTİK güvenlik açığı:
Adobe Flash Player
CVE-2020-9633: Adobe Flash Player Desktop Runtime 32.0.0.371 ve önceki sürümleri, Google Chrome için Adobe Flash Player 32.0.0.371 ve önceki sürümleri ve Microsoft Edge ve Internet Explorer 32.0.0.330 ve önceki sürümleri için Adobe Flash Player, ücretsiz güvenlik açığından sonra kullanıma sahiptir . Başarılı bir şekilde kullanılması, rastgele kod yürütülmesine yol açabilir. Adobe, Windows, macOS, Linux ve Chrome OS için Adobe Flash Player’a yönelik güvenlik güncellemeleri yayınladı.
Yakınlaştır:
CVE-2022-22785: 5.10.0 sürümünden önceki Toplantılar için Zoom İstemcisi (Android, iOS, Linux, MacOS ve Windows için), istemci oturumu çerezlerini Zoom etki alanlarıyla doğru şekilde sınırlandıramadı. Bu sorun, şüphelenmeyen kullanıcılara Zoom kapsamındaki oturum çerezlerini Zoom dışı bir alana göndermek için daha karmaşık bir saldırıda kullanılabilir. Bu, potansiyel olarak bir Zoom kullanıcısının sahtekarlığına izin verebilir.
CVE-2022-22786: 5.10.0 sürümünden önceki Windows için Toplantılar için Zoom İstemcisi ve 5.10.0 sürümünden önceki Windows için Konferans Odası için Zoom Odaları, güncelleme işlemi sırasında kurulum sürümünü düzgün şekilde kontrol edemiyor. Bu sorun, kullanıcıyı Zoom istemcisinin sürümünü daha az güvenli bir sürüme düşürmesi için kandırmak amacıyla daha karmaşık bir saldırıda kullanılabilir.
Adobe Acrobat okuyucu
CVE-2016-1038: Windows ve OS X’te 11.0.16’dan önce Adobe Reader ve Acrobat, 15.006.30172’den önce Acrobat ve Acrobat Reader DC Classic ve 15.016.20039’dan önce Acrobat ve Acrobat Reader DC Continuous, saldırganların JavaScript API yürütme kısıtlamalarını atlamasına izin veriyor belirtilmemiş vektörler yoluyla. Daha yeni bir sürümün yüklenmesi bu güvenlik açığını ortadan kaldırır.
CVE-2016-1044: Windows ve OS X’te 11.0.16’dan önce Adobe Reader ve Acrobat, 15.006.30172’den önce Acrobat ve Acrobat Reader DC Classic ve 15.016.20039’dan önce Acrobat ve Acrobat Reader DC Continuous, saldırganların JavaScript API yürütme kısıtlamalarını atlamasına izin veriyor belirtilmemiş vektörler yoluyla. Daha yeni bir sürümün yüklenmesi bu güvenlik açığını ortadan kaldırır.
Yama uygulanmayan ilk 5 ÖNEMLİ güvenlik açığı:
Yakınlaştır:
CVE-2023-39211: Windows için Zoom Masaüstü İstemcisinde ve Windows için Zoom Rooms’ta uygun olmayan ayrıcalık yönetimi, kimliği doğrulanmış bir kullanıcının yerel erişim aracılığıyla bilgilerin ifşa edilmesini etkinleştirmesine izin verebilir. 5.15.5 veya sonraki bir sürüme yükseltme bu güvenlik açığını ortadan kaldırır.
CVE-2023-34116: Windows için Zoom Masaüstü İstemcisindeki hatalı giriş doğrulaması, yetkisiz bir kullanıcının ağ erişimi yoluyla ayrıcalık yükseltmesini etkinleştirmesine izin verebilir. Sürüm 5.15.0 veya sonraki bir sürüme yükseltme bu güvenlik açığını ortadan kaldırır.
CVE-2023-39213: Windows için Zoom Masaüstü İstemcisi ve Zoom VDI İstemcisi’ndeki özel öğelerin uygunsuz şekilde nötrleştirilmesi, kimliği doğrulanmamış bir kullanıcının ağ erişimi yoluyla ayrıcalık yükseltmesini etkinleştirmesine olanak verebilir. Sürüm 5.15.2 veya sonraki bir sürüme yükseltme bu güvenlik açığını ortadan kaldırır.
Adobe:
CVE-2023-29320: Adobe Acrobat Reader’ın 23.003.20244 (ve öncesi) ve 20.005.30467 (ve öncesi) sürümleri, mevcut kullanıcı bağlamında rastgele kod yürütülmesine neden olabilecek bir Güvenli Tasarım İlkelerinin İhlali güvenlik açığından etkileniyor. API kara listeye alma özelliğini atlayarak. Bu sorunun kötüye kullanılması, kurbanın kötü amaçlı bir dosyayı açması gerektiği için kullanıcı etkileşimi gerektirir. En son sürüme güncelleme yapmak güvenlik açığını ortadan kaldırır.
VLC medya oynatıcı
CVE-2020-26664: VideoLAN VLC ortam oynatıcısı 3.0.11’deki bir güvenlik açığı, saldırganların özel hazırlanmış bir dosya aracılığıyla yığın tabanlı arabellek taşmasını tetiklemesine olanak tanıyor. Arabellek taşması, bir yazılım uygulamasındaki bir bellek alanı adres sınırına ulaştığında ve bitişik bir bellek bölgesine yazdığında ortaya çıkan bir tür yazılım güvenlik açığıdır. Yazılımdan yararlanma kodunda taşmalara hedeflenen iki ortak alan yığın ve yığındır. Arabellek taşması rastgele kod yürütülmesine neden olabilir. VLC’nin 3.0.20 sürümünü yüklemek güvenlik açığını ortadan kaldırır.
Göremediğiniz Şeyi Düzeltemezsiniz
Her ne kadar çok nadir durumlarda güvenlik açıkları ana haber manşetlerinde yer alsa da, gerçekleştiğinde etkisi çok büyük olabilir. MOVEit güvenlik açığının Cl0p fidye yazılımı operatörleri tarafından istismar edilmesi, (Mayıs ve Eylül 2023 arasında) 60 milyondan fazla bireysel kurbanı etkiledi. Ayrıca, her “kritik” güvenlik açığının, istismar edilen bir güvenlik açığıyla eşanlamlı olmadığını unutmayın. CISA’nın bilinen girişlerine eklenen 1.000 ek girişle, Sadece son iki yılda istismar edilen güvenlik açıkları kataloğuna rağmen çok az kuruluş her şeyi takip edecek BT personeline sahip.
Pek çok kuruluşun hangi güvenlik açıklarının kendilerini etkileyebileceği konusunda sınırlı görünürlüğü vardır ve neredeyse her kuruluş, kamuya açıklanan bilgisayar güvenlik kusurlarını listeleyen Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanına güvenir. Ancak bu mükemmel bir kaynak değil.
2023 yılında, başlangıçta Google Chrome içindeki WebP’de yığın arabellek taşması olarak tanımlanan CVE-2023-4863 keşfedildi. Ortalama bir kişi bu güvenlik açığını öğrendiğinde sorunun Chrome ile sınırlı olduğunu düşünmüş olabilir, hatta diğer Chromium tabanlı tarayıcıların da etkilenebileceğini fark etmiş olabilir. Ancak gerçek oldukça farklıydı. Hatanın yalnızca Chrome tarafından değil, WebP görüntülerini işleyen hemen hemen her uygulama tarafından kullanılan libwebp kitaplığında derinden kök saldığı ortaya çıktı. Dolayısıyla, Chrome tarayıcılarına yama uygulayan herkes bu güvenlik açığını engellediğini düşünebilir, ancak gerçekte yalnızca farklı bir yazılımda hala savunmasız olabilirler.
Bu tür kütüphane gözetimi oldukça sık gerçekleşir. Kapsamlı eğitimli ve deneyimli BT personeli de dahil olmak üzere çoğu kişi, kullandıkları ortamı ve yazılımı oluşturmak için kullanılan tüm yapı taşları hakkında hiçbir fikre sahip değildir.
Burası, personeli ortamlarındaki mevcut güvenlik açıkları konusunda uyaran ve yama yönetimi yetenekleriyle entegre olan özel yazılımın günü kurtarmaya yardımcı olabileceği yerdir.
Ücretsiz Güvenlik Açığı Değerlendirmesi
Bugün Malwarebytes, saldırı yüzeylerini azaltmaya ve güvenlik duruşlarını iyileştirmeye yardımcı olmak için müşterilerine ThreatDown Güvenlik Açığı Değerlendirmesi çözümünü ekstra maliyet olmadan sunduğunu duyurdu. Tam özellikli kapsamlı güvenlik açığı taraması artık tüm ThreatDown Paketine, entegre konsolu aracılığıyla hiçbir ek ücret olmadan dahil ediliyor.
ThreatDown paketlerinin güvenlik açıklarını hızla bulup düzelterek güvenliğinizi artırmanıza nasıl yardımcı olabileceği hakkında daha fazla bilgiyi burada bulabilirsiniz.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.