Ekim ayında düzeltilen diğer sorunlar, WebSQL’de CVE-2022-3446 olarak izlenen bir yığın arabellek taşması ve İzinler API’sinde CVE-2022-3448 olarak izlenen ücretsiz kullanım sonrası bir hatadır, Google blogunda yazdı. Google ayrıca Güvenli Tarama ve Peer Connection’da ücretsiz kullanım sonrası iki hatayı düzeltti.
Google Android
Ekim ayı Android Güvenlik Bülteni, Çerçeve ve Sistemdeki 15 kusur ve çekirdek ve satıcı bileşenlerindeki 33 sorun için düzeltmeler içeriyor. En çok ilgili konulardan biri, Çerçeve bileşeninde, CVE-2022-20419 olarak izlenen, yerel ayrıcalık artışına yol açabilecek kritik bir güvenlik açığıdır. Bu arada, Çekirdekteki bir kusur, ek yürütme ayrıcalığına gerek kalmadan yerel ayrıcalığın yükselmesine de yol açabilir.
Sorunların hiçbirinin saldırılarda kullanıldığı bilinmiyor, ancak yine de cihazınızı kontrol edip mümkün olduğunda güncellemeniz mantıklı. Google, güncellemeyi Pixel cihazlarında yayınladı ve ayrıca Samsung Galaxy S21 ve S22 serisi akıllı telefonlar ve Galaxy S21 FE için de mevcut.
Cisco
Cisco, güvenlik açıklarının saldırılarda kullanıldığı onaylandıktan sonra şirketleri Windows için AnyConnect Güvenli Mobilite İstemcisi’ndeki iki kusuru düzeltmeye çağırdı. CVE-2020-3433 olarak izlenen ilki, Windows’ta geçerli kimlik bilgilerine sahip bir saldırganın etkilenen makinede sistem ayrıcalıklarıyla kod yürütmesine izin verebilir.
Bu arada, CVE-2020-3153, geçerli Windows kimlik bilgilerine sahip bir saldırganın kötü amaçlı dosyaları sistem düzeyinde ayrıcalıklara sahip rastgele konumlara kopyalamasına izin verebilir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, zaten yararlanılan güvenlik açıkları kataloğuna Cisco kusurlarını ekledi.
Her iki Cisco kusuru da saldırganın kimliğinin doğrulanmasını gerektirse de, şimdi güncelleme yapmak hala önemlidir.
yakınlaştır
Video konferans hizmeti Zoom, Ekim ayında, CVSS Puanı 8.8 ile yüksek önem derecesine sahip olarak işaretlenen toplantılar için Zoom istemcisindeki bir kusur da dahil olmak üzere birçok sorunu yamaladı. Zoom, 5.12.2 sürümünden önceki sürümlerin CVE-2022-28763 olarak izlenen bir URL ayrıştırma güvenlik açığından etkilendiğini söylüyor.
Zoom bir güvenlik bülteninde, “Kötü niyetli bir Zoom toplantı URL’si açılırsa, bağlantı kullanıcıyı keyfi bir ağ adresine bağlanmaya yönlendirebilir ve bu da oturum devralmaları dahil ek saldırılara yol açabilir” dedi.
Ayın başlarında Zoom, kullanıcıları 5.10.6 ile başlayan ve 5.12.0 öncesi macOS toplantıları için istemcisinin bir hata ayıklama bağlantı noktası yapılandırması içerdiği konusunda uyardı.
VMware
Yazılım devi VMWare, Cloud Foundation’da ciddi bir güvenlik açığını yamaladı
CVE-2021-39144 olarak izlendi. XStream açık kaynak kitaplığı aracılığıyla uzaktan kod yürütme güvenlik açığı, maksimum CVSSv3 taban puanı 9,8 ile kritik önem derecesine sahip olarak derecelendirilir. VMWare bir danışma belgesinde, “VMware Cloud Foundation’da giriş serileştirme için XStream’den yararlanan kimliği doğrulanmamış bir uç nokta nedeniyle, kötü niyetli bir aktör, cihazdaki ‘kök’ bağlamında uzaktan kod yürütme alabilir,” dedi.
VMware Cloud Foundation güncellemesi ayrıca, daha düşük bir CVSSv3 taban puanı 5,3 olan bir XML Harici Varlık güvenlik açığını da giderir. CVE-2022-31678 olarak izlenen hata, kimliği doğrulanmamış bir kullanıcının hizmet reddi gerçekleştirmesine izin verebilir.
Zimbra
Yazılım firması Zimbra, bir saldırganın kullanıcı hesaplarına erişmesine izin verebilecek, önceden kullanılmış bir kod yürütme kusurunu düzeltmek için yamalar yayınladı. CVE-2022-41352 olarak izlenen sorunun CVSS önem puanı 9,8’dir.
Saldırılarda kullanıldığına dair işaretler tespit eden Rapid7 araştırmacıları tarafından sömürü tespit edildi. Zimbra başlangıçta bunu düzeltmek için bir geçici çözüm yayınladı, ancak şimdi yama kullanılabilir, en kısa sürede uygulamanız gerekir.
SAP
Kurumsal yazılım firması SAP, Ekim Yama Günü’nde 23 yeni ve güncellenmiş Güvenlik Notu yayınladı. En ciddi sorunlardan biri, SAP Manufacturing Execution’daki kritik bir Path Traversal güvenlik açığıdır. Güvenlik açığı iki eklentiyi etkiliyor: Work Instruction Viewer ve Görsel Test ve Onarım ve CVSS puanı 9.9.
CVSS puanı 9,6 olan diğer bir sorun da SAP Commerce oturum açma sayfasındaki bir hesabın ele geçirilmesine ilişkin güvenlik açığıdır.
kehanet
Yazılım devi Oracle, üç aylık güvenlik güncellemesinin bir parçası olarak 370 yama yayınladı. Oracle’ın Ekim ayı Kritik Yama Güncellemesi, kritik olarak derecelendirilen 50 güvenlik açığını düzeltir.
Güncelleme, Oracle MySQL için 37 yeni güvenlik yaması içeriyor ve bunların 11’i kimlik doğrulaması olmadan uzaktan kullanılabilir. Ayrıca, Oracle Financial Services Applications için 16’sı kimlik doğrulaması olmadan uzaktan kullanılabilen 24 yeni güvenlik yaması içerir.
“Başarılı bir saldırının oluşturduğu tehdit” nedeniyle Oracle, müşterilerin Kritik Yama Güncellemesi güvenlik yamalarını mümkün olan en kısa sürede uygulamalarını “şiddetle tavsiye eder”.