Microsoft'un bu ayki düzeltme eki döngüsünde, toplam 60 Windows düzeltme eki içinde, görünüşe göre hiçbiri sıfır gün olmayan bir avuç dikkate değer güvenlik açığı bulunuyor.
CVE-2024-21334, açık yönetim altyapısındaki (OMI) bir güvenlik açığıdır ve CVSS puanı 9,8'dir.
Güvenlik açığı, System Center Operations Manager'ın 1.8.1-0'dan önceki sürümlerinde mevcuttur ve kimliği doğrulanmamış uzaktaki bir saldırganın, bir OMI örneğinde serbest kullanım sonrası kullanım hatasını tetiklemesine olanak tanır.
CVE-2024-21400, CVSS puanı 9,0 olan bir ayrıcalık yükseltme güvenlik açığıdır.
Microsoft'un Azure Kubernetes Hizmet Gizli Kapsayıcısındaki hata, kimliği doğrulanmamış bir saldırganın kimlik bilgilerini çalarak “bağlı olabileceği ağ yığınının ötesindeki gizli konukları ve kapsayıcıları” ele geçirmesine olanak verebilir.
CVE-2024-21407, CVSS puanı 8,1 olan bir Hyper-V uzaktan kod yürütme güvenlik açığıdır.
Son olarak Microsoft, kritik ciddiyeti Hyper-V'deki CVSS puanı 5,5 olan bir hizmet reddi hatası olan CVE-2024-21408'e bağladı. Daha fazla ayrıntı verilmemektedir.
Salı Yaması ekinde ayrıca yalnızca Microsoft Edge'i etkileyen beş Chromium hatası ve bir Android hatası yer aldı.
Dil uyarısı
Bilinmeyen nedenlerden dolayı iTnewsYukarıdaki güvenlik açıklarının tümünde, Microsoft'un bunlara ilişkin açıklamasında tutarsızlıklar vardır.
Microsoft, iki Hyper-V güvenlik açığını (CVE-2024-21407 ve CVE-2024-21408) “Maksimum önem derecesi: Kritik” olarak tanımlamaktadır; ancak her ikisi de CVSS puanı 9,0 veya daha yüksek değildir.
Bu arada, CVE-2024-21334 (CVSS puanı 9,8) ve CVE-2024-21400 (CVSS puanı 9,0), yüksek puanlarına rağmen “Maksimum şiddet: Önemli” olarak tanımlanıyor.
SANS Enstitüsü bu bariz tutarsızlığı gözlemledi ve bunlardan birine dikkat çekti: “Tuhaf bir şekilde Microsoft, DoS güvenlik açığını 'kritik' olarak değerlendiriyor.”
iTnews Microsoft'tan yorum yapmasını istedi.