Android güvenlik düzeltme eki, Google’ın kendi özel güncellemeleri olan Pixel cihazlarında ve Samsung Galaxy Note 10, Galaxy S21 ve Galaxy A73 dahil olmak üzere Samsung’un Galaxy serisinde mevcuttur. Güncellemeyi ayarlarınızdan kontrol edebilirsiniz.
Microsoft Yaması Salı
Microsoft, yılın ilk Salı Yaması’nda, zaten istismar edilmiş bir güvenlik açığı da dahil olmak üzere oldukça ağır bir 98 güvenlik sorununu düzeltti: CVE-2023-21674, Windows Gelişmiş Yerel Yordam Çağrısını etkileyen ve tarayıcı sanal alanından kaçışa yol açabilecek bir ayrıcalık yükseltme kusurudur.
Microsoft, hatayı istismar ederek, bir düşmanın Sistem ayrıcalıkları kazanabileceğini yazdı ve kusurun gerçek hayattaki saldırılarda tespit edildiğini doğruladı.
Windows Kimlik Bilgisi Yöneticisi Kullanıcı Arabirimi’ndeki bir başka ayrıcalık yükselmesi güvenlik açığı olan CVE-2023-21726’dan yararlanılması nispeten kolaydır ve kullanıcının herhangi bir etkileşimi gerektirmez.
Ocak Salı Yaması ayrıca Microsoft’un dokuz Windows Çekirdeği güvenlik açığını düzelttiğini gördü; bunlardan sekizi ayrıcalık yükselmesi sorunları ve bir bilgi ifşası güvenlik açığıydı.
Mozilla Firefox
Yazılım firması Mozilla, Firefox tarayıcısı için önemli güncellemeler yayınladı ve bunların en ciddi olanı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından bir uyarıya konu oldu.
Firefox 109’da düzeltilen 11 kusur arasında, yüksek etkiye sahip olarak derecelendirilen dördü, CVE-2023-23597 de dahil olmak üzere, süreç tahsisinde rakiplerin keyfi dosyaları okumasına izin verebilecek bir mantık hatası. Bu arada Mozilla, güvenlik ekibinin Firefox 108’de bellek güvenlik hataları bulduğunu söyledi. “Bu hatalardan bazıları belleğin bozulduğuna dair kanıtlar gösterdi ve yeterli çabayla bazılarının keyfi kod çalıştırmak için kullanılmış olabileceğini varsayıyoruz” diye yazdı.
CISA, danışma belgesinde, bir saldırganın etkilenen bir sistemin kontrolünü ele geçirmek için bu güvenlik açıklarından bazılarını kullanabileceğini söyledi. “CISA, kullanıcıları ve yöneticileri daha fazla bilgi için Mozilla’nın Firefox ESR 102.7 ve Firefox 109 güvenlik önerilerini incelemeye ve gerekli güncellemeleri uygulamaya teşvik ediyor.”
VMWare
Kurumsal yazılım üreticisi VMWare, VMware vRealize Log Insight ürününü etkileyen dört kusuru detaylandıran bir güvenlik danışma belgesi yayınladı. CVE-2022-31706 olarak izlenen ilki, CVSSv3 taban puanı 9,8 olan bir dizin geçişi güvenlik açığıdır. VMWare, kusurdan yararlanarak, kimliği doğrulanmamış, kötü niyetli bir aktörün etkilenen bir cihazın işletim sistemine dosyalar enjekte ederek RCE ile sonuçlanabileceğini söylüyor.
Bu arada, CVE-2022-31704 olarak izlenen bozuk bir erişim denetimi RCE güvenlik açığı da CVCCv3 taban puanı 9,8’dir. Bu güvenlik açıklarından etkilenenlerin mümkün olan en kısa sürede yama yapması gerektiğini söylemeye gerek yok.
kehanet
Yazılım devi Oracle, 70’i kritik etkiye sahip olarak derecelendirilen 327 güvenlik açığı için yamalar yayınladı. Endişe verici bir şekilde, Ocak ayında yamalanan sorunların 200’ü, kimliği doğrulanmamış bir uzaktan saldırgan tarafından kullanılabilir.
Oracle, insanlara sistemlerini mümkün olan en kısa sürede güncellemelerini tavsiye ediyor ve “Oracle’ın zaten güvenlik yamaları yayınlamış olduğu güvenlik açıklarından kötü niyetli olarak yararlanma girişimleri” hakkında raporlar aldığı konusunda uyarıda bulunuyor.
Bazı durumlarda, hedeflenen müşterilerin mevcut Oracle yamalarını uygulamaması nedeniyle saldırganların başarılı olduğu bildirildi.
SAP
SAP’nin Ocak Yama Günü’nde 12 yeni ve güncellenmiş güvenlik notu yayınlandı. 9.0 CVSS puanıyla CVE-2023-0014, güvenlik firması Onapsis tarafından en ciddi hata olarak derecelendirildi. Onapsis, kusurun tüm SAP müşterilerinin çoğunu etkilediğini ve hafifletilmesinin zor olduğunu söylüyor.
Yakala-tekrar oynat güvenlik açığı, kötü niyetli kullanıcıların bir SAP sistemine erişmesine izin verebileceği için bir risktir. Onapsis, “Güvenlik açığının tam olarak düzeltilmesi, bir çekirdek yaması, bir ABAP yaması ve tüm güvenilir RFC ve HTTP hedeflerinin manuel olarak taşınmasını içerir” diye açıklıyor.