Yamaların çoğu, saldırılarda zaten istismar edilen sıfır gün güvenlik açıklarını düzeltir ve bu da yamaların mümkün olan en kısa sürede uygulanmasını önemli hale getirir. İşte Aralık ayında yayınlanan tüm yamaların özeti.
Apple iOS ve iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
Apple, Aralık ayında iOS 16 işletim sisteminde önemli bir yükseltme yayınladı: iOS 16.2. Güncelleme, iCloud’da uçtan uca şifreleme gibi özelliklerle birlikte geliyor, ancak aynı zamanda 35 güvenlik açığını da düzeltiyor.
iOS 16.2’de yamalanan sorunların hiçbirinin saldırılarda kullanıldığı bilinmiyor; ancak, çoğu oldukça ciddi. Kusurlar, bir saldırganın kod yürütmesine izin verebilecek Apple’ın Safari tarayıcısı WebKit’e güç veren çekirdekte altı ve motorda dokuz içerir.
Apple ayrıca, iOS 16’yı çalıştıramayan eski iPhone kullanıcıları için iOS 15.7.2’yi yayınlayarak, halihazırda saldırılarda kullanılan bir kusuru düzeltti. Apple’ın destek sayfasına göre, CVE-2022-42856 olarak izlenen WebKit güvenlik açığı, bir saldırganın kod yürütmesine izin verebilir. Kasım ayının sonunda Apple, iOS 16.1.2’deki aynı WebKit kusurunu düzeltti.
Eylül ayında iOS 16’nın piyasaya sürülmesinden bu yana Apple, yeni işletim sistemine yükseltmek istemeyenler için güvenlik güncellemeleri sunuyor. Ancak iOS 15.7.2 yalnızca eski iPhone’lar içindir, bu nedenle iPhone 8 veya sonraki bir sürüme sahipseniz, güvende kalmak için şimdi iOS 16’ya yükseltmeniz gerekir.
iPhone üreticisi ayrıca macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big South 11.7.2, macOS Monterey 12.6.2 ve Safari 16.2’yi de yayınladı.
Google Android
Aralık ayı, Google’ın Android işletim sistemi için ağır bir yama ayıydı ve ay boyunca düzinelerce güvenlik açığı için düzeltmeler yayınlandı. Google bir güvenlik bülteninde, CVE-2022-20411 olarak izlenen en ciddi güvenlik açığının, Sistem bileşeninde hiçbir ek yürütme ayrıcalığı gerekmeden Bluetooth üzerinden uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığı olduğunu söyledi.
Google ayrıca Android Framework bileşenindeki CVE-2022-20472 ve CVE-2022-20473’teki iki kritik hatayı düzeltti. Bu arada, Aralık ayında Google tarafından 151 Pixel’e özgü hatalar düzeltildi.
Aralık yaması, donanım üreticisinin amiral gemisi Galaxy serisi de dahil olmak üzere Google’ın kendi Pixel cihazları ve Samsung akıllı telefonları için mevcut.
Google Chrome 108
Google, yılın dokuzuncu sıfır gün güvenlik açığını gidermek için Chrome tarayıcısı için bir acil durum güncellemesi yayınladı. CVE-2022-4262 olarak izlenen Chrome’un V8 JavaScript motorundaki yüksek önem düzeyine sahip tür karışıklığı sorunu, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına olanak verebilir. Tarayıcı üreticisi bir blogda “Google, CVE-2022-4262 için bir açıktan yararlanmanın vahşi ortamda var olduğunun farkındadır” dedi.
Acil durum güncellemesi, Google’ın 28 güvenlik açığını kapatan Chrome 108’i yayınlamasından birkaç gün sonra geldi. Düzeltmeler arasında, V8’deki bir tür karışıklık hatası olan CVE-2022-4174 ve birkaç kullanım sonrası hata yer alıyor. Google’a göre, bu güvenlik açıklarının hiçbiri saldırılarda kullanılmadı. Ancak en son hatanın zaten saldırganların elinde olduğu göz önüne alındığında, Chrome’u bir an önce güncellemek iyi bir fikirdir.
Microsoft Yaması Salı
Microsoft’un Aralık Salı Yaması, saldırılarda kullanılan bir kusur da dahil olmak üzere 49 güvenlik açığını gideren bir başka büyük olaydı. CVE-2022-44698 olarak izlenen sorun, bütünlük ve kullanılabilirlik kaybına yol açabilecek bir Windows SmartScreen güvenlik özelliği atlama güvenlik açığıdır.
Microsoft, “Bir saldırgan, Mark of the Web (MOTW) savunmalarından kaçabilecek kötü amaçlı bir dosya oluşturabilir, bu da MOTW etiketlemesine dayanan Microsoft Office’teki Korumalı Görünüm gibi güvenlik özelliklerinin sınırlı bir bütünlük ve kullanılabilirlik kaybına neden olabilir” dedi.