Microsoft tarafından ele alınan CVE’lerin aydan aya tuhaf modeli Salı Mayıs Yaması ile devam etti. Nisan ayı için yüksek rakamlar gördükten sonra, Mayıs ayında Windows 11 ve 10 için sırasıyla 20 ve 23 CVE’nin sabitlendiğini gördük. Ve Nisan’da Server 2012 için 62 CVE düzeltildikten sonra, Mayıs’ta yalnızca 16 tane vardı. Bu ay ne göreceğiz? Zaman gösterecek, ancak Microsoft’un tahmini hakkında konuşmadan önce, bazı Apple etkinliklerine hızlıca bir göz atalım.
Gündem Apple’da
Apple, geçtiğimiz ay hem olumlu hem de pek olumlu olmayan manşetlerle gündemdeydi. Olumlu tarafı, Apple bu hafta, yeni visionOS tarafından desteklenen yeni Vision Pro “uzaysal bilgisayar”, iOS 17 güncellemeleri, yaklaşan Sonoma OS sürümü, yeni M2 donanımı ve çok daha fazlası ile ilgili duyurularla yıllık Dünya Çapında Geliştiriciler Konferansı’na ev sahipliği yaptı.
Olumsuz tarafı, Mayıs ortasında Apple, üç kritik güvenlik açığını gidermek için sıfır gün güncellemeleri yayınladı. Bu üç güvenlik açığı WebKit tarayıcı motorunda bulundu ve CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373. Bu güvenlik açıkları için düzeltmeler Big Sur 11.7.7, Monterey 12.6.6, Ventura 13.4, iOS 16.5 ve iPadOS 16.5’te sağlandı. Bu güvenlik açıklarından ikisi, Apple’ın geçen ay tanıttığı Hızlı Güvenlik Yanıtları programının bir parçası olarak ele alındı. Kötüye kullanıldığı biliniyor, bu nedenle Apple ekipmanınız varsa bu güncellemeleri aylık sürecinize dahil ettiğinizden emin olun.
Apple, sıfır günlük sürüm kategorisinde yalnız değil – Google ayrıca CVE-2023-3079’u ele almak için Windows için 114.0.5735.110 ve macOS ve Linux için 114.0.5735.106 güncellemesini yayınladı. Bu CVE, ‘V8’de Tür Karışıklığı’, Google’a göre vahşi doğada var olduğu bilinmektedir.
DBIR 2023
Verizon Veri İhlali Araştırmaları Raporu (DBIR 2023) 6 Haziran’da yayınlandı ve tam açıklama Ivanti, rapora katkıda bulunan bir ortaktı. Beklendiği gibi, saldırıların çoğu (%83) harici bir kaynaktan geliyor ve %74’ü “hata, ayrıcalığın kötüye kullanılması, çalınan kimlik bilgilerinin kullanılması veya sosyal mühendislik” nedeniyle bir insan unsuru içeriyor.
Saldırıların yaklaşık %24’ü, geçen yılla hemen hemen aynı olan fidye yazılımı içeriyordu, ancak en önemlisi saldırıların %95’i finansal amaçlıydı. Log4j, en çok yararlanılan güvenlik açığı olarak bildirildi. Bu rapor, yıldan yıla veri ihlali etkinliği karşılaştırmaları ve mevcut eğilimlerin mükemmel bir özetini sağlayan harika bir kaynaktır.
Windows 10 21H2 Ev ve Profesyonel
Windows 10 21H2 Home ve Professional bu ay EOS’ye ulaşacak, bu nedenle buna göre plan yapın. EOS tarihinden sonra bu sürümde kalmak gerekirse, geçen ayki blogda bazı azaltma seçeneklerini tartıştım. Ayrıca, Server 2012/Server 2012 R2’nin genel EOS’ye ulaşmasına sadece altı ay kaldı. Microsoft, Genişletilmiş Güvenlik Güncelleştirmelerini (ESU) üç yıl daha sunacak, ancak ESU’ya ihtiyaç duyulursa, zamanı geldiğinde bu geçişi sorunsuz bir şekilde yapmak için önceden plan yapmak isteyeceksiniz.
Haziran 2023 Yama Salı tahmini
- Geçen ay ele alınan CVE’lerdeki büyük durgunluğun ardından, Microsoft’un önümüzdeki hafta hem bu işletim sistemleri hem de Office uygulaması güncellemeleri için yıllık ortalamaları ile yoluna devam etmesini bekleyin. Önizleme güncellemesi bazı yazıcı düzeltmeleri içeriyordu, bu nedenle yazıcı yönetimi ve işlevselliğinde nihayet bir miktar kararlılığa geri dönmüş olabiliriz.
- Adobe Acrobat ve Reader son güncellemelerini Nisan ayında aldı. Şu anda herhangi bir ön duyuru yok, ancak önümüzdeki hafta küçük bir güncelleme bekleyeceğim çünkü vaktimiz var.
- Apple, 18 Mayıs’ta önemli bir güncelleme seti sağladı. Bilinen sıfır gün güvenlik açıkları nedeniyle lütfen bunları mümkün olan en kısa sürede dağıtın. Geliştirici konferansı ve son sürümler nedeniyle önümüzdeki hafta herhangi bir yeni güncelleme beklemiyorum.
- Google, bu hafta birkaç geliştirici ve beta güncellemesi yayınladı ve bu, önümüzdeki hafta resmi sürümlerle sonuçlanabilir.
- Mozilla bu hafta Firefox 114 ve Firefox ESR 192.12’yi piyasaya sürdü, bu nedenle önümüzdeki hafta yalnızca bir Thunderbird güncellemesi görebiliriz.
Bu Salı Yaması’ndan önce birkaç üçüncü taraf, acil durum sıfır gün sürümü yayınlandı, bu nedenle önümüzdeki hafta yalnızca Microsoft’un normal ücretini görebiliriz. Bu, Apple’ı unutmadıysanız, önümüzdeki hafta standart bir dağıtım anlamına gelebilir!