Eylül ayı sürekli güncellemelerle dolu bir ay oldu. Apple ve Microsoft tarafından yeni işletim sistemleri piyasaya sürüldü ve web hizmetlerinde kullanılan çeşitli güvenlik açıkları, birçok satıcı için sıfır gün sürümlerinin domino etkisi yaratmasıyla sonuçlandı. Henüz bunları kullanıma sunmadıysanız, gelecek haftaya ilişkin tahminlerin bir parçası olarak kabul edilebilirler.
Sıfır gün güvenlik açıkları
Geçtiğimiz ay çok sayıda sıfır gün duyurusu içeriyordu. Apple, ürün serisinin çoğunda beş sıfır gün güvenlik açığıyla lider konumdaydı; ay boyunca CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 ve CVE-2023-41993 için birçok sürüm yayınlandı. Ayrıca 26 Eylül’de Sonoma, macOS 14’ü piyasaya sürdüler ve bu da yakında Big Sur için EOL ile sonuçlanacak.
Google, sıfır gün duyurularında dört, bekleyin üç sıfır gün sürümüyle çok geride değildi. Bunu söylüyorum çünkü CVE-2023-4863 ve CVE-2023-5127’nin aynı güvenlik açığı olduğu tespit edildi ve CVE-2023-5127 o zamandan beri kullanımdan kaldırıldı. CVE-2023-4863, Ulusal Güvenlik Açığı Veritabanında “116.0.5845.187 ve libwebp 1.3.2’den önceki Google Chrome’daki libwebp’de, uzaktaki bir saldırganın, hazırlanmış HTML sayfası. CVSS 3.1 puanı 8,6 (yüksek) olan Chromium Critical derecesine sahiptir. CVE-2023-5217 aynı zamanda VP8 kodlama bileşenindeki bir yığın arabellek taşması zayıflığıdır ve çökmeye ve uzaktan kod yürütülmesine neden olabilir.
Bu güvenlik açıkları aynı zamanda Microsoft Edge, Masaüstü için Microsoft Teams, Masaüstü için Skype ve Webp Görüntü Uzantıları için Microsoft güncellemeleriyle sonuçlandı. Ayrıca Safari, Firefox ve Opera dahil olmak üzere başlıca tarayıcıların çoğunu da etkilediler.
Microsoft
Microsoft bu ay oldukça aktif ve bazı önemli duyurular yapıyor. Windows 11 22H2 ‘Moment 4’ güncellemesi, Windows Update ayarlarında en son güncellemeleri al seçeneğini seçen kullanıcılara sunulmaktadır. Bu sürümdeki büyük bir güvenlik özelliği, web sitelerinde parola olmadan oturum açmak için biyometrik verileri veya güvenlik anahtarlarını kullanan ve böylece kimlik avı saldırılarıyla mücadeleye yardımcı olan Windows Geçiş Anahtarı Yöneticisidir.
Kasım Yaması Salı toplu güncellemesi, Moment 4 özelliklerini ve güncellemelerini içerecektir. Bir sonraki büyük işletim sistemi güncellemesi olan Windows 11 23H2, Insider’lar için Sürüm Önizleme Kanalı’na sunuluyor. Kamuya açıklanması yakında 4. çeyrekte gerçekleşecek. Yeni sürüm Windows 11 22H2 kod tabanı üzerine oluşturulduğundan Microsoft, kolaylaştırılmış bir güncelleme için bir etkinleştirme paketi yayınlayacak.
Bu etkinleştirme sürecini uzun süredir çalışırken görmüyoruz ve kullanıcıları bu özellik mevcut olduğunda atlamaya teşvik etmeliyiz. Ve son olarak Microsoft, Exchange Online’daki değişim web hizmetlerinin (EWS) 1 Ekim 2026’dan itibaren Microsoft dışı uygulamalardan gelen EWS isteklerini resmi olarak engellemeye başlayacağını duyurdu. 2018’de Graph API’ye geçmeyi önerdiler ve EWS’nin kullanımdan kaldırılması yönünde bir sonraki adımı atıyorlar. . Bu makaledeki topluluktan gelen yorumlar, Graph API’nin EWS’de bulunan özellikleri desteklemediği ve ortalamanın altında bir alternatif olduğu konusunda oldukça açık.
Salı günü bu yama, Windows 11 21H2 ve Microsoft Server 2012/2012 R2 için son güncellemeleri içerecektir. Daha sonra Kasım sürümünden itibaren Genişletilmiş Güvenlik Desteğine (ESU) geçilecek ve Microsoft ayrıca bu güncellemeleri etkinleştirmek için kullanılan anahtarların Azure Arc’ın bir parçası olarak yönetileceğini de duyurdu. Gelecek hafta serbest bırakılmaları gerekiyor.
Ekim 2023 Yaması Salı tahmini
- Microsoft, tüm Eylül etkinliğini işletim sistemi ve Edge toplu sürümlerine aktardığından önümüzdeki hafta muhtemelen çok sayıda CVE güncellemesi olacak. Ayrıca Server 2012 desteğinin olumlu bir şekilde kapatılması ve desteğin mümkün olduğu kadar güvenli hale getirilmesi konusunda da büyük bir baskı söz konusu olabilir. Bir süredir herhangi bir sıcak Office güvenlik açığı duymadık ancak olağan güncellemeleri bekliyoruz. Geçen ay yayımlanan .NET framework ile önümüzdeki hafta başka bir sürüm beklemiyorum.
- Acrobat ve Reader geçen ay başka bir güncelleme aldı ancak Adobe’nin yakında başka bir güncelleme olup olmayacağını asla bilemezsiniz. Ben öyle bir beklentim yok ama ön duyuruyu bekleyip ona göre plan yapacağım.
- Apple, Eylül ayında 20’den fazla sürümle oldukça aktifti. Tüm sıfır gün güvenlik açıklarına rağmen iOS ve macOS’un en son sürümlerine güncel olduğunuzdan emin olun. Yakında bir Sonoma güncellemesi için tetikte olun; Yeni işletim sistemi sürümleri yalnızca kendi payına düşen hatalarla birlikte gelmekle kalmıyor, aynı zamanda rapor edilen sıfır günler, ilk sürümde hesaba katılmamışsa bir güncellemeyi zorlayabilir.
- Chrome bizi yama koşu bandında tuttu; bu yüzden bunun önümüzdeki hafta Linux, macOS ve Windows için başka bir güncelleme seti ile devam etmesini bekliyoruz.
- Mozilla, Firefox, Firefox ESR ve Thunderbird için son güncelleme turunu 28 Eylül’de yayınladı; bu nedenle önümüzdeki hafta yeni bir güncelleme turu bekliyoruz.
Güncellemelerinizi dağıtım için sıraya koymadan önce gelecek hafta yayınlanacak tüm güncellemelere yakından bakın. Geçen aya ait tüm sıfır gün güncellemelerinin yeni bir toplu güncelleme kapsamında olduğunu veya satıcının yeni bir güncellemesi yoksa kritik yamayı ayın başlarında dağıttığınızı doğrulamak isteyeceksiniz. .
CVSS Sürüm 4.0’ın, FIRST’ten 31 Ekim’de atanmış bir hedef yayın sürümü vardır. Bu, bir sonraki Salı Yaması’ndan önce gerçekleşecek, bu nedenle favori yamalarınızda yeni CVSS puanlarını takip edin! Ayrıca NIST Siber Güvenlik Çerçevesi 2.0 genel taslağının 4 Kasım’a kadar inceleme ve yoruma açık olduğuna dair son bir not.