Microsoft’un düzenli Salı Yaması hata düzeltmeleri, toplam 80 güvenlik açığıyla birlikte geldi; bunların ikisi aktif olarak kullanılıyor ve birkaç kritik dereceli hata var.
İstismar edilen güvenlik açıkları CVE-2024-21412 (CVSS puanı 8,1) ve CVE-2024-21351’dir (CVSS puanı 7,6).
CVE-2024-21412, saldırganın kullanıcıyı kötü amaçlı bir dosyayı açması için kandırması durumunda (örneğin kimlik avı saldırısı yoluyla) Microsoft’un İnternet kısayol dosyaları güvenlik özelliğini atlar; CVE-2024-21351 ise yine kurbanın kötü amaçlı bir dosyayı açması yoluyla Windows SmartScreen güvenliğini atlıyor.
Kritik güvenlik açıkları arasında CVE-2024-21380, CVE-2024-21410 ve CVE-2024-21413 yer alıyor.
CVE-2024-21380, Dynamics Business Central’daki (eski adıyla Dynamics NAV) bir bilginin açığa çıkması güvenlik açığıdır.
Kurban kötü amaçlı bir bağlantıya tıklarsa, kimliği doğrulanmış bir saldırgan, “saldırganın diğer kiracının uygulamaları ve içeriğiyle etkileşim kurma yeteneği kazanmasına yol açabilecek” bir yarış durumunu tetikleyebilir.
CVE-2024-21410, Microsoft Exchange Server’da, bir saldırganın sızdırılan kullanıcı kimlik bilgileriyle kimlik doğrulaması yapmasına olanak tanıyan NTLM kimlik bilgileri sızıntısı nedeniyle ortaya çıkan, kritik bir ayrıcalık artışı güvenlik açığıdır.
CVE-2024-21413, Outlook’ta Office 2016’ya kadar uzanan bir uzaktan kod yürütme (RCE) güvenlik açığıdır.
Önizleme bölmesi aracılığıyla saldırıya uğrayabilen Microsoft, bu istismarın “bir saldırganın Office Korumalı Görünümü atlamasına ve korumalı mod yerine düzenleme modunda açmasına olanak sağlayacağını” söyledi.