Windows 10 ve 11’de ele alınan çok sayıda CVE’ye ilişkin Ekim ayı tahmini ve Windows Server 2012’de sabitlenen sayıya ilişkin son rekor tam yerindeydi! Microsoft, Windows 11’de 75, Windows 10’da 80 ve Server 2012 R2’de 61 CVE’yi ele aldı. Server 2012 ve Server 2012 R2 kısa vadede iyi durumda olsalar da lütfen buna uzun süre güvenmeyin ve bu ay Genişletilmiş Güvenlik Güncellemelerine geçeceklerini unutmayın. Bu, 20 yıllık Yama Salı günlerini sonlandırmanın güzel bir yoluydu!
Salı Yaması’nın yeni on yılı
Gelecek hafta, Microsoft’un Salı Yaması sürümlerinin üçüncü on yılına giriyoruz. Salı Yaması’nın yazılım endüstrisi üzerinde önemli bir etkisi oldu. Yazılım güncellemeleri, Ekim 2003’ün o ikinci Salı gününe kadar gelişigüzel ve rastlantısal bir şekilde gerçekleşmişti. Microsoft, düzenli olarak planlanan güncellemelerin duyurusu ile yazılım sürümlerine bir miktar öngörülebilirlik sağlamaya karar verdi ve bu, kısa sürede bir yama yönetimi sürecinin başlangıcını doğurdu.
BT yöneticileri nihayet gelecek yazılım güncellemelerini planlayıp kuruluşlarına bildirebildi ve ardından bunları düzenli bir şekilde dağıtabildi. Yama alımı iyileşti ve çok geçmeden diğer satıcıların da aynı yaklaşımı benimsemesi, genellikle Microsoft ile birlikte ya da en azından kendi önceden duyurulmuş düzenli programlarına göre yayınlamaları sağlandı. Microsoft’un yama yönetimi araçlarını geliştirmesinin yanı sıra, tüm bir endüstri, BT’nin kullanması için çok çeşitli araçlar sağladı. Büyümenin ve iyileştirmelerin devam edeceği bir on yıl daha öngörmek zorunda değilim.
Microsoft’un güvenlik uzmanlığı
Böyle bir gelişme, sınırlı, erken erişim için sunulan Microsoft Security Copilot’tur. Duyuruya göre bu, “güvenlik ekiplerine yönelik, en son büyük dil modellerini temel alan ve güvenlik ekiplerinin rakiplerini geride bırakmasına yardımcı olmak için Microsoft’un güvenlik uzmanlığından ve küresel tehdit istihbaratından yararlanan bir yapay zeka asistanıdır.” Analiz ve eylem önerileri sağlamak için ortak dil sorgularını alabilir, Microsoft tehdit istihbaratına, derin güvenlik bilgisi kitaplıklarına ve diğer Microsoft kaynaklarına danışabilir. Microsoft ürünlerine özel olabilecek metin, kod, diyagram vb. şeklinde çıktılar sağlayabilir. Güvenlik ekibinin güvenlik bilgi ve yeteneklerini büyük ölçüde genişletebilir.
Bu ürün, yapay zekanın dünya çapında sorumlu bir şekilde kullanılmasını sağlarken, siber savunma ve gelişmiş yazılım mühendisliği de dahil olmak üzere çeşitli şekillerde yapay zekayı kullanmayı amaçlayan Microsoft’un Güvenli Gelecek Girişiminin önemli bir parçasıdır.
Windows 11 23H2
Microsoft, Windows 11 23H2’yi 31 Ekim’de resmi olarak piyasaya sürdü. Yeni bir yükleme için bir iso görüntüsü aracılığıyla ve son özellik güncellemelerinde görmediğimiz Windows 11 22H2’den bir etkinleştirme paketi olarak edinilebilir. Windows 11 22H2 için geçen ay yayımlanan tüm ‘Moment 4’ özellik güncellemelerini içerir. Geçen ay bahsettiğim gibi, bu sürümdeki büyük bir güvenlik özelliği, web sitelerinde parola olmadan oturum açmak için biyometrik verileri veya güvenlik anahtarlarını kullanan ve böylece kimlik avı saldırılarıyla mücadeleye yardımcı olan Windows Geçiş Anahtarı Yöneticisi’dir.
Atlassian
Bu ay dikkat edilmesi gereken birkaç önemli CVE var. Atlassian, Confluence Veri Merkezi ve Sunucu teknolojisini hedef alan istismarlarla yeniden gündeme geldi. Ekim başında CVE-2023-22515’in saldırı altında olduğunu bildirdiler ve şimdi CVE-2023-22518 de aynı durumda. Bunların her ikisi de CVSS 10.0 ile derecelendirilmiştir, dolayısıyla acil güncellemeler önerilir. CVSS ile ilgili olarak FIRST, CVSS Sürüm 4.0’ın planlandığı gibi 31 Ekim’de ofis sürümünün yayınlanacağını duyurdu. Yakında Microsoft ve diğerlerinden yeni CVSS 4.0 puanlarına referans görmeyi bekliyoruz.
Kasım 2023 Yaması Salı tahmini
- Geçen ayki büyük baskının ardından önümüzdeki hafta Microsoft işletim sistemlerinde daha az sayıda CVE’nin ele alınmasını bekliyoruz. Office uygulamalarına ve belki de bir .NET çerçeve güncellemesine daha fazla odaklanılabilir.
- Adobe her çeyreğin sonunda büyük güncellemeler yapıyor, bu nedenle bir sonraki güncellemenin Aralık ayında olacağını tahmin ediyorum. Önemli bir sıfır gün ortaya çıkarsa gelecek hafta bir şeyler yayınlayabilirler, bu nedenle her zaman bir sonraki gün veya daha yakın bir tarihte yapılacak bir ön duyuruyu bekleyin.
- Apple bu hafta Sonoma, Ventura ve iOS için güvenlik güncellemeleri yayınladı; bu nedenle henüz yapmadıysanız bunları gelecek haftaki yama dağıtımınıza dahil ettiğinizden emin olun. Bazı CVE’lerin söz konusu işletim sistemi için geçerli olması ihtimaline karşı Monterey güncellemesine dikkat edin.
- ChromeOS LTS kanalı bu hafta 5 Yüksek puanlı CVE’ye yönelik olarak 114.0.5735.339 olarak güncellendi. Henüz konuşlandırmadıysanız bunları önümüzdeki hafta dikkate alın. Bu hafta Chrome Masaüstü ve standart ChromeOS için beta güncellemeleri vardı, dolayısıyla bunların gelecek hafta yayınlanmasını bekliyoruz.
- Mozilla, Firefox, Firefox ESR ve Thunderbird için son güncelleme turunu 24 Ekim’de yayınladı; bu nedenle önümüzdeki hafta bazı küçük güncellemeler görebiliriz.
Salı Yamasının önemi yıllar geçtikçe arttı. Tehditler o ilk günlerden bu yana dramatik bir şekilde arttı; öyle ki, Salı günü yayınlanan yamaların sıfır gün ve bildirilen büyük miktardaki güvenlik açıklarına karşı koruma sağlamak için hızlı bir şekilde dağıtılması gerekiyor. Önümüzdeki hafta Yama Salı günlerinin 21. yılı başlarken iyi mücadeleye devam edin.