ağustos ayı bitti Bazıları saldırılarda kullanılan ciddi sorunları düzeltmek için Microsoft, Google Chrome ve rakibi Firefox tarafından yayınlanan çok sayıda yama ile yaz tarzını yansıtıyor.
Bu yazının yazıldığı sırada herhangi bir Apple iPhone güncellemesi olmasa da, ay içinde bazı önemli kurumsal düzeltmeler yayımlandı. Bunlar arasında Ivanti ürünlerindeki istismar edilen kusurlara yönelik yamaların yanı sıra SAP ve Cisco yazılımlarındaki güvenlik açıklarına yönelik düzeltmeler de yer alıyor.
Ağustos ayında yayınlanan yamalar hakkında bilmeniz gereken her şey için okumaya devam edin.
Microsoft
Microsoft’un Ağustos Yaması Salı günü, yazılım devinin düzinelerce güvenlik açığını düzelttiği görüldü; bunlardan ikisi halihazırda gerçek dünya saldırılarında kullanılıyor. Bunlardan ilki, Windows Arama’da saldırganların Microsoft’un Web İşareti güvenlik özelliğini atlamasına olanak tanıyan bir uzaktan kod yürütme (RCE) kusuru olan CVE-2023-36884’e yönelik Derinlemesine Savunma güncellemesidir. Tanıdık geliyorsa bunun nedeni Microsoft’un bu güvenlik açığını zaten Temmuz ayında gidermiş olmasıdır. Ancak Microsoft, en son güncellemeyi yüklemenin soruna yol açan “saldırı zincirini durdurduğunu” söyledi.
İkinci kusur olan CVE-2023-38180, .NET ve Visual Studio’da bir saldırganın hizmet reddi gerçekleştirmesine olanak tanıyan bir sorundur.
Ağustos Salı Yaması’nda düzeltilen sorunlardan altısı, Outlook e-posta istemcisindeki bir RCE kusuru olan CVE-2023-36895 de dahil olmak üzere kritik olarak derecelendirildi. Bu arada, Güvenlik Güncelleştirmesi Kılavuzu’na göre CVE-2023-35385, CVE-2023-36910 ve CVE-2023-36911, Microsoft Messenger Queuing hizmetindeki RCE sorunlarıdır.
Ağustos ayında Microsoft tarafından düzeltilen beşinci ve altıncı kritik sorunlar CVE-2023-29328 ve CVE-2023-29330’dur ve bunların her ikisi de Teams’deki RCE kusurlarıdır.
Google Chrome
Ağustos, Chrome 115 için bir dizi güncellemeyle başladı; bunlardan dokuzu yüksek etkiye sahip olarak derecelendirildi. 17 yama, V8’deki üç tür karışıklık kusurunu içeriyor: CVE-2023-4068, CVE-2023-4069 ve CVE-2023-4070. Ve CVE-2023-4071, Visuals’ta bir yığın arabellek taşması sorunudur ve CVE-2023-4076, WebRTC’de serbest kullanım sonrası bir kusurdur.
Birkaç hafta sonra Google, sekizi yüksek etkiye sahip olarak değerlendirilen 26 güvenlik açığını düzeltmek için Chrome 116’yı yayınladı. En ciddi sorunlar arasında Çevrimdışında bir serbest kullanım hatası olan CVE-2023-2312 ve Device Trust Konektörlerinde bir serbest kullanım hatası olan CVE-2023-4349 yer alıyor. Üçüncüsü, CVE-2023-4350, Tam Ekranda uygunsuz bir uygulama hatasıdır.
Daha sonra 23 Ağustos’ta Google, beş kusuru düzelten daha düzenli haftalık güvenlik güncellemelerinin ilkini yayınladı. Yüksek etkiye sahip olarak derecelendirilen dört güvenlik açığı arasında iki adet serbest kullanım sonrası kullanım hatası ve iki adet sınır dışı bellek erişim sorunu yer alıyor.
Firefox
Google Chrome’un gizlilik odaklı rakibi Firefox da yoğun bir Ağustos ayı geçirdi ve Firefox 116’daki bir düzineden fazla güvenlik açığını giderdi. Firefox’un sahibi Mozilla tarafından yamalanan sorunlar arasında Offscreen Canvas’ta yüksek olarak derecelendirilen bir sorun olan CVE-2023-4045 ve CVE-2023 yer alıyor. -4047, açılır pencere bildirimlerinde bir saldırganın kullanıcıyı izin vermesi için kandırmasına olanak tanıyan, hesaplamayı geciktiren bir hata.
Güncelleme ayrıca CVE-2023-4056, CVE-2023-4057 ve CVE-2023-4058 olarak takip edilen bellek güvenliği hatalarını da yamalıyor. Mozilla, son güncellemede düzeltilen kusurların “bellek bozulmasına dair kanıtlar gösterdiğini” söyledi. “Yeterli çabayla bunlardan bazılarının keyfi kod çalıştırmak için kullanılabileceğini varsayıyoruz.”
Google Android
Google, Android işletim sistemi için Çerçeve, Sistem ve Çekirdekteki ciddi kusurlara yönelik yamalar da dahil olmak üzere 40 güncelleme yayınladı. CVE-2023-21273 olarak izlenen, Ağustos ayında düzeltilen en ciddi hata, Sistem bileşeninde, hiçbir ek yürütme ayrıcalıklarına gerek kalmadan RCE’ye yol açabilecek kritik bir güvenlik açığıdır. Google, Android Güvenlik Bülteninde, istismar için kullanıcı etkileşiminin gerekli olmadığını söyledi.
Bu arada CVE-2023-21282, Media Framework’te kritik etkiye sahip olduğu belirtilen bir RCE kusurudur. Çekirdekteki CVE-2023-21264 olarak izlenen bir diğer kritik sorun, Sistem yürütme ayrıcalıklarına ihtiyaç duyulmasına rağmen yerel ayrıcalık artışına yol açabilir.