İncelemede Hafta: Microsoft Yamaları Windows CLFS 0 Gün, Winrar Motw Bypass Flaw Sabit


İncelemede Hafta

İşte geçen haftanın en ilginç haberlerinden bazılarına, makalelere, röportajlara ve videolara genel bir bakış:

Microsoft, aktif olarak sömürülen Windows CLFS Zero Day’i (CVE-2025-29824) düzeltiyor
Nisan 2025 Patch Salı burada ve Microsoft, aktif saldırı altında sıfır gün (CVE-2025-29824) dahil 120’den fazla güvenlik açığı için düzeltmeler yaptı.

Winrar Motw Bypass Flaw Sabit, ASAP güncellemesi (CVE-2025-31334)
Winrar kullanıcıları, yazılımınızı mümkün olan en kısa sürede yükseltin: Saldırganların Windows’un Web’in (MOTW) Güvenlik Uyarısı (MOTW) İşareti (MOTW) Güvenlik Uyarısı’nı atlamasına ve makinenizde keyfi kod yürütmesine izin verebilecek bir güvenlik açığı (CVE-2025-31334) 7.11 sürümünde sabitlenmiştir.

Cisos Battle Güvenlik Platformu Yorgunluğu
İyi niyetlerle başlar. Kimlik avı durdurmak için bir araç. Uç noktaları izlemek için başka. Bulut iş yükleri için bir tane daha. Yakında, iyi niyetli bir CISO, her biri kendi gösterge paneline, uyarılarına ve baş ağrısına sahip takımlar arasında düzinelerce ürünü yönetir.

Trump, Chris Krebs, Sentinelone için Güvenlik Boşluklarının İptal Etme Emir
ABD Başkanı Donald Trump, Çarşamba günü Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eski direktörü Chris Krebs ve Sentinelone’daki meslektaşları tarafından düzenlenen güvenlik izni için bir yürütme emri imzaladı.

Cisos neden siber kriz simülasyonlarında ikiye katlanıyor?
Siber tehditler gitmiyor ve Cisos önlenmenin yeterli olmadığını biliyor. Yanıt vermeye hazır olmak da aynı derecede önemlidir. Siber kriz simülasyonları bu hazırlığı test etmenin bir yolunu sunar.

Fortiswitch güvenlik açığı saldırganlara savunmasız cihazlar üzerinde kontrol verebilir (CVE-2024-48887)
Fortinet, fortiswitch aletlerinde, eklenmemiş saldırganların savunmasız cihazlara erişim ve idari ayrıcalıklara erişmesine izin verebilecek kritik bir güvenlik açığı (CVE-2024-48887), ürünlerinin çoğunu etkileyen kusurlar için yamalar yayınladı.

Güvenlik Kültürü Neden Kripto’nun En Güçlü Varlığı
Net güvenlik görüşmesinde bu yardımcı olan Norah Beers, Grayscale’den CISO, kripto varlıklarını, düşman taktiklerini, özel anahtar yönetimini yönetmede ve hem sıcak hem de soğuk cüzdanların güvence altına alınmasındaki temel güvenlik zorluklarını tartışıyor.

WhatsApp güvenlik açığı Windows kullanıcılarını kötü amaçlı yazılımlarla enfekte etmek için kullanılabilir (CVE-2025-30401)
WhatsApp kullanıcılarının, saldırganların kullanıcıları kötü amaçlı kod çalıştırmasına izin verebilecek ciddi bir güvenlik açığı (CVE-2025-30401) takmak için Windows istemci uygulamasını güncellemeleri istenir.

Siber güvenliği stratejik bir iş sağlayıcısına dönüştürmek
Bu yardımcı net güvenlik görüşmesinde, Ecolab’daki CISO Kevin Serafin, güvenlik stratejisini uzun vadeli iş hedefleri ile hizalamayı, kuruluş genelinde güçlü ortaklıklar oluşturmayı ve çeviklikle üçüncü taraf riskine yaklaşmayı tartışıyor.

MSP dostu dosya paylaşım platformunda RCE kusurları saldırganlar tarafından kullanıldı (CVE-2025-30406)
Salı günü CISA’nın bilinen sömürülen güvenlik açıkları kataloğuna Gladinet Centrestack dosya paylaşımı/uzaktan erişim platformunu etkileyen kritik bir RCE güvenlik açığı (CVE-2025-30406) eklendi.

Gözlemlenebilirlik, Güvenliğin bulut konuşmasına geri dönmesidir
Bu yardımda net güvenlik görüşmesinde, Esteban Gutierrez, CISO ve New Relic’te bilgi güvenliği Başkan Yardımcısı, bulut altyapısının benimsenmesinin güvenliğe hazır olduğunu tartışıyor.

Kimlik İlk Güvenliğe Geçiş ve Neden Önemlidir
Bu yardımcı net güvenlik görüşmesinde, BeyondId CEO’su Arun Shrestha, AI’nın hem saldırganlar hem de savunucular için güvenli erişim yönetimini nasıl dönüştürdüğünü tartışıyor.

AI satıcınızın güvenlik riski olup olmadığını nasıl öğrenir
Yapay zeka benimseme ile ilgili en acil endişelerden biri veri sızıntısıdır. Şunu düşünün: Bir çalışan en sevdikleri AI Chatbot’a giriş yapar, hassas kurumsal verileri yapıştırır ve bir özet ister. Tıpkı bunun gibi, gizli bilgiler kontrolünüzün ötesinde üçüncü taraf bir model haline getirilir.

İnceleme: Ultimate Kali Linux Kitabı, Üçüncü Baskı
Gerçek dünya senaryoları, uygulamalı teknikler ve yaygın olarak kullanılan araçlarla ilgili bilgilerle dolu olan en çok satan Ultimate Kali Linux kitabının üçüncü baskısı, Kali Linux ile penetrasyon testi öğrenmek için pratik bir yol sunar.

LLMS’de Aşırı Ajans: Kontrolsüz Özerklik Riski Artan
Bir AI ajanının özerk bir şekilde “düşünmesi” ve harekete geçmesi için ajans verilmelidir; Yani, diğer sistemlerle entegre olmasına, verileri okumasına ve analiz etmesine ve komutları yürütme izinlerine sahip olmasına izin verilmelidir.

APTRS: Açık kaynaklı otomatik penetrasyon testi raporlama sistemi
APTRS, Python ve Django ile inşa edilmiş açık kaynaklı bir raporlama aracıdır. Raporlarda zaman kazanmak isteyen penetrasyon testçileri ve güvenlik ekipleri için yapılmıştır.

Meyveden çıkarılan LLM saldırılarının yükselişi
Bu yardımda net güvenlik videosunda, Vectra AI’da seçkin AI araştırmacısı Sohrob Kazerounian, LLM tabanlı uygulamaların devam eden hızlı benimsenmesinin nasıl yeni siber güvenlik riskleri getirdiğini tartışıyor.

Evet3 Tarayıcı: Kamu Erişimi için Açık Kaynak S3 Güvenlik Tarayıcısı, Fidye Yazılımı Koruması
Yes3 tarayıcı, AWS’deki S3 kovalarınız için 10+ farklı yapılandırma öğesini tarayan ve analiz eden açık kaynaklı bir araçtır.

OpenSSL, 3.5.0 sürümüyle kuantum geleceğe hazırlanıyor
OpenSSL projesi, yaygın olarak kullanılan açık kaynaklı kriptografik kütüphanesinin 3.5.0 sürümünü yayınladı, yeni özellikler ve geleceğe hazır kriptografiye doğru evrimini gösteren önemli değişiklikler sundu.

Kimlik avı, sahtekarlık ve finans sektörünün güven krizi
Finans sektörü, gelişmiş kimlik avı saldırılarından ve sahtekarlıktan artan baskı altında, bu da büyük finansal kayıplara ve müşteri güvenini aşındırıyor.

Su ve elektrik tesisleri üzerindeki siber saldırılar kamu güvenliğini tehdit ediyor
Semperis’e göre, kamu operatörlerinin% 62’si siber saldırılar tarafından geçtiğimiz yıl hedeflendi ve bunlardan% 80’i birden fazla kez saldırıya uğradı.

Beğenilerden Sızıntılar: Sosyal Medya Varlığı Kurumsal Güvenliği Nasıl Etkiler?
Psikolojik bir bakış açısından, hepimiz dikkat çekiyoruz ve ihtiyaç duyan yakıtı seviyoruz ve yorumlıyoruz, bizi sosyal medyada daha da fazla paylaşmaya teşvik ediyor.

Neden uzaktan çalışma bir güvenlik mayın alanıdır (ve bu konuda neler yapabileceğiniz)
Uzaktan çalışma geçici bir çözümden daha fazlası olarak görülür, birçok kuruluş için uzun vadeli bir stratejidir.

Siber güvenlik işleri şu anda mevcut: 8 Nisan 2025
Siber güvenlik alanında çeşitli beceri seviyelerini kapsayan çeşitli roller sunmak için pazarı inceledik. Şu anda mevcut olan bu haftalık siber güvenlik işlerine göz atın.

11 Siber Savunma İpuçları İş ve evde güvende kalmak için
Siber güvenlik, koruduğu teknolojiye ayrılmaz bir şekilde bağlıdır. Tıpkı teknolojinin tüm yaşamımızda çeşitlilik, miktar ve varlık açısından büyümeye devam etmesi gibi, siber güvenlik ve bunun için kişisel sorumluluğumuz da.

Enzoik AD Lite Parola Denetim Raporu
AD Lite Parola Denetçisi için Enzoic, bir kuruluşun Active Directory ortamıyla sorunsuz bir şekilde entegre etmek için tasarlanmış yenilikçi bir araçtır.

Haftanın Yeni InfoSec Ürünleri: 11 Nisan 2025
Forescout, dizin motorları, JIT, RunSafe Güvenliği ve Seal Security’den sürümleri içeren geçen haftaki en ilginç ürünlere bir göz atın.



Source link