Her ay, yamayla ilgili güvenlikle ilgili birkaç sıcak konuya ve yaklaşan Salı Yaması’nda dikkat edilmesi gereken bazı önemli güncellemelere değiniyorum. Sistemleri korumak ve bir güvenlik ihlalinden kaçınmak için şans değil, devam eden bu yama sürecindeki özen önemlidir.
Yama önceliği
Fidye yazılımı büyük bir tehdit olmaya devam ediyor ve yakın tarihli bir rapor bazı ilginç destekleyici istatistikler sağlıyor. 2022’de fidye yazılımı saldırılarıyla ilişkili güvenlik açıklarının sayısında yıldan yıla %19’luk bir artış oldu, bu da saldırganların en son bulunan güvenlik açıklarını araştırmaya ve bunlardan yararlanmaya devam ettiği anlamına geliyor.
Geçen ay satıcılar tarafından bildirilen CVSS sayılarında ve NIST Ulusal Güvenlik Açığı Veritabanında (NVD) bazı tutarsızlıklar olduğundan bahsetmiştim. Bu yakın tarihli rapor, aktif fidye yazılımındaki güvenlik açıklarından 57’sinin düşük ila orta CVSS sayıları taşıdığını ancak istismar edildiğinde yine de önemli sorunlara neden olabileceğini ortaya koydu.
Yama uygulama önceliğinizi yalnızca en yüksek CVSS sayılarına dayandırmak iyi bir başlangıç noktasıdır, ancak hangilerinin nasıl istismar edildiğini gösteren tehdit istihbaratını da göz önünde bulundurmanız gerekir. Ancak, BT açısından beklenmedik olmayan bir şekilde muhtemelen en önemli bulgu, halen kullanılmakta olan güvenlik açıklarının %76’sının 2020 ve öncesine ait olması ve bir kısmının 2012 yılına kadar uzanıyor olmasıdır.
Bu güvenlik açıklarının çoğunun kullanılabilir yamaları vardır; bu, yazılım satıcıları ürünlerini uygun şekilde güncellediyse ve biz de yamaları düzgün bir şekilde uyguladıysak, bilinen mevcut saldırı yüzeyimizin aktif fidye yazılımlara karşı oldukça küçük olması gerektiği anlamına gelir. Fidye yazılımının karşı karşıya olduğumuz saldırı türlerinden yalnızca biri olduğu kabul ediliyor. Yine de yama sürecindeki titizlik, bilgisayar ve ağ güvenliğinin temeli olmaya devam ediyor.
Microsoft etkinliği
Microsoft bu ay aktif olarak birkaç duyuru, bazı ilginç ön izleme sürümleri ve bant dışı güncellemeler yayınladı. Windows 11 için ilk büyük güncelleme olan Windows 11 22H2’nin piyasaya sürülmesinden bu yana, sistem sağlama ile ilgili bir hata üzerinde çalışıyorlar. Microsoft’a göre, “Tedarik paketleri, iş veya okul ağlarında kullanılmak üzere yeni cihazların yapılandırılmasına yardımcı olmak için kullanılan .PPKG dosyalarıdır.”
Bu sorunu çözmek için birkaç geçici girişimde bulunuldu, ancak bu ay yayınlanan bir ön izlemede sorunun çözülmüş olduğu görülüyor. Bu düzeltmenin önümüzdeki haftaki güncellemelere dahil edilmesini bekleyebiliriz. Microsoft ayrıca yakın zamanda Windows Görev Çubuğu’na özellik güncellemeleri, Apple telefonlar için iOS’a masaüstü bağlantıları, yeni sekmeli Windows Not Defteri ve çok daha fazlasını içeren ‘Moment 2’ toplu güncellemesinin bir önizlemesini yayınladı. Bu, Windows 11 için Mart güncellemesine dahil edilecek, bu yüzden hazırlıklı olun.
Ve bir hatırlatma olarak, ‘An’ güncellemeleri, Microsoft’un yıllık güncelleme dışında daha küçük özellikler sağlamaya yönelik yeni yaklaşımıdır. Windows 11 Moment 1 güncellemesi geçen yıl Ekim ayında geldi. Son olarak Microsoft, Windows 11 için bazı Intel işlemcilerdeki güvenlik açıkları için bant dışı güncelleme KB 5019178’i yayınladı. Bu, Intel’in INTEL-SA-0615 kapsamında eski bir veri güncellemesi olarak yayınladığı mikro kod güncellemelerinin bir dağıtımıdır. .
Mart 2023 Yama Salı tahmini
- Şubat sürümü, Windows 11 ve Server 2012’de yalnızca 33 ve Windows 10’da 36 ile tahmin edildiği gibi ele alınan CVE’ler açısından küçüktü. Odak noktası performans hata düzeltmeleri olduğundan, bu eğilimin işletim sistemleri için Mart ayında da devam etmesini bekliyorum. ve daha önce bahsettiğim gibi Moment sürümü. Bir süre herhangi bir .NET çerçevesi veya SQL güncellemesi beklemeyin.
- Ocak ayındaki büyük güncellemeden bu yana Adobe Acrobat veya Reader için bir güncelleme olmadı, dolayısıyla bu ay küçük bir güncelleme görebiliriz.
- Apple Big Sur, Ventura ve Safari Şubat ortasında güncellendi, bu nedenle önümüzdeki hafta bir tane daha beklemeyin, ancak olası bir Monterey güncellemesi için uyanık olun.
- Google, bu hafta Windows, Linux ve macOS için tüm beta kanallarında Chrome 112 Masaüstü’nü yayınladı, bu nedenle önümüzdeki hafta resmi bir sürüm olabilir.
- Mozilla, Salı Yaması ile geç saatlerde senkronize oluyor gibi görünüyor, bu nedenle önümüzdeki hafta Firefox, Firefox ESR ve Thunderbird için güncellemeler bekleyin.
Önümüzdeki hafta için güvenlik açısından oldukça hafif bir Salı Yaması gibi görünüyor. Tüm güncellemelerinizi zamanında dağıtın ve sistem güvenliği için şansa güvenmediğinizi bilerek Cuma günü rahatlayabilmeli ve seçtiğiniz bir içecekle Aziz Patrick Günü’nün tadını çıkarabilmelisiniz!