Bugün, Microsoft’un Aralık 2023 Yaması Salı günü; bu yama, AMD CPU’larında toplam 34 kusura ve daha önce açıklanan, yama yapılmamış bir güvenlik açığına yönelik güvenlik güncellemelerini içeriyor.
Sekiz uzaktan kod yürütme (RCE) hatası düzeltilirken, Microsoft yalnızca üçünü kritik olarak derecelendirdi. Biri Power Platform’da (Spoofing), ikisi Internet Bağlantı Paylaşımı’nda (RCE) ve biri Windows MSHTML Platformu’nda (RCE) olmak üzere toplamda dört kritik güvenlik açığı vardı.
Her bir güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
- 10 Ayrıcalık Güvenlik Açıklarının Yükselmesi
- 8 Uzaktan Kod Yürütme Güvenlik Açıkları
- 6 Bilgi İfşası Güvenlik Açıkları
- 5 Hizmet Reddi Güvenlik Açıkları
- 5 Sahtecilik Güvenlik Açığı
Toplam 34 kusur sayısı, 7 Aralık’ta düzeltilen 8 Microsoft Edge kusurunu içermiyor.
Bugün yayımlanan güvenlikle ilgili olmayan güncelleştirmeler hakkında daha fazla bilgi edinmek için yeni Windows 11 KB5033375 toplu güncelleştirmesi ve Windows 10 KB5033372 toplu güncelleştirmesi hakkındaki özel makalelerimizi inceleyebilirsiniz.
Kamuya açıklanan bir sıfır gün sabiti
Bu ayın Salı Yaması, Ağustos ayında açıklanan ve daha önce yama yapılmadan kalan bir AMD sıfır gün güvenlik açığını giderir.
‘CVE-2023-20588 – AMD: CVE-2023-20588 AMD Spekülatif Sızıntılar‘ güvenlik açığı, belirli AMD işlemcilerinde bulunan ve potansiyel olarak hassas verileri döndürebilecek sıfıra bölme hatasıdır.
Kusur, Ağustos 2023’te AMD’nin aşağıdaki hafifletme önerileri dışında herhangi bir düzeltme sunmamasıyla açıklandı.
CVE-2023-20588 tarihli bir AMD bülteninde “Etkilenen ürünler için AMD, yazılım geliştirmedeki en iyi uygulamaların takip edilmesini öneriyor” ifadesine yer veriliyor.
“Geliştiriciler, ayrıcalık sınırlarını değiştirmeden önce bölüm operasyonlarında hiçbir ayrıcalıklı verinin kullanılmamasını sağlayarak bu sorunu hafifletebilir. AMD, yerel erişim gerektirdiğinden bu güvenlik açığının potansiyel etkisinin düşük olduğuna inanıyor.”
Bugünkü Aralık Yaması Salı güncellemelerinin bir parçası olarak Microsoft, etkilenen AMD işlemcilerdeki bu hatayı çözen bir güvenlik güncellemesi yayınladı.
Diğer şirketlerin son güncellemeleri
Aralık 2023’te güncelleme veya öneri yayınlayan diğer sağlayıcılar arasında şunlar yer almaktadır:
Aralık 2023 Yaması Salı Güvenlik Güncellemeleri
Aşağıda Aralık 2023 Yaması Salı güncellemelerinde giderilen güvenlik açıklarının tam listesi bulunmaktadır.
Her bir güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını buradan görüntüleyebilirsiniz.
| Etiket | CVE Kimliği | CVE Başlığı | Şiddet |
|---|---|---|---|
| Azure Bağlı Makine Aracısı | CVE-2023-35624 | Azure Bağlı Makine Aracısında Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Azure Makine Öğrenimi | CVE-2023-35625 | SDK Kullanıcıları için Azure Machine Learning İşlem Örneği Bilgilerin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Yonga setleri | CVE-2023-20588 | AMD: CVE-2023-20588 AMD Spekülatif Sızıntılar Güvenlik Bildirimi | Önemli |
| Microsoft Bluetooth Sürücüsü | CVE-2023-35634 | Windows Bluetooth Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Microsoft Dinamikleri | CVE-2023-35621 | Microsoft Dynamics 365 Finance and Operations Hizmet Reddi Güvenlik Açığı | Önemli |
| Microsoft Dinamikleri | CVE-2023-36020 | Microsoft Dynamics 365 (şirket içi) Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı | Önemli |
| Microsoft Edge (Krom tabanlı) | CVE-2023-35618 | Microsoft Edge (Chromium tabanlı) Ayrıcalık Yükselmesi Güvenlik Açığı | Ilıman |
| Microsoft Edge (Krom tabanlı) | CVE-2023-36880 | Microsoft Edge (Chromium tabanlı) Bilginin İfşa Edilmesi Güvenlik Açığı | Düşük |
| Microsoft Edge (Krom tabanlı) | CVE-2023-38174 | Microsoft Edge (Chromium tabanlı) Bilginin İfşa Edilmesi Güvenlik Açığı | Düşük |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6509 | Krom: CVE-2023-6509 Yan Panel Aramasında ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6512 | Chromium: CVE-2023-6512 Web Tarayıcısı kullanıcı arayüzünde uygunsuz uygulama | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6508 | Chromium: CVE-2023-6508 Medya Akışında ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6511 | Chromium: CVE-2023-6511 Otomatik Doldurmada uygunsuz uygulama | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6510 | Chromium: CVE-2023-6510 Media Capture’da ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Office Outlook’u | CVE-2023-35636 | Microsoft Outlook’ta Bilginin Açığa Çıkması Güvenlik Açığı | Önemli |
| Microsoft Office Outlook’u | CVE-2023-35619 | Mac için Microsoft Outlook’ta Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Microsoft Ofis Word’ü | CVE-2023-36009 | Microsoft Word’de Bilginin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Microsoft Güç Platformu Bağlayıcısı | CVE-2023-36019 | Microsoft Power Platform Bağlayıcı Kimlik Sahtekarlığı Güvenlik Açığı | Kritik |
| SQL için Microsoft WDAC OLE DB sağlayıcısı | CVE-2023-36006 | SQL Server Uzaktan Kod Yürütme Güvenlik Açığı için Microsoft WDAC OLE DB sağlayıcısı | Önemli |
| Microsoft Windows DNS’i | CVE-2023-35622 | Windows DNS Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Windows Bulut Dosyaları Mini Filtre Sürücüsü | CVE-2023-36696 | Windows Cloud Files Mini Filtre Sürücüsünde Ayrıcalık Yükselişi Güvenlik Açığı | Önemli |
| Windows Defender’ı | CVE-2023-36010 | Microsoft Defender Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-35643 | DHCP Sunucusu Hizmeti Bilgilerinin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-35638 | DHCP Sunucusu Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-36012 | DHCP Sunucusu Hizmeti Bilgilerinin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Windows DPAPI (Veri Koruma Uygulama Programlama Arayüzü) | CVE-2023-36004 | Windows DPAPI (Veri Koruma Uygulama Programlama Arayüzü) Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35642 | İnternet Bağlantı Paylaşımı (ICS) Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35630 | İnternet Bağlantı Paylaşımı (ICS) Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35632 | WinSock’ta Ayrıcalık Yükselmesi Güvenlik Açığı için Windows Yardımcı İşlev Sürücüsü | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35641 | İnternet Bağlantı Paylaşımı (ICS) Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows Çekirdeği | CVE-2023-35633 | Windows Çekirdeğinde Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows Çekirdeği | CVE-2023-35635 | Windows Çekirdeğinde Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows Çekirdek Modu Sürücüleri | CVE-2023-35644 | Windows Sysmain Hizmeti Ayrıcalığının Yükselmesi | Önemli |
| Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) | CVE-2023-36391 | Yerel Güvenlik Yetkilisi Alt Sistemi Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows media | CVE-2023-21740 | Windows Media Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows MSHTML Platformu | CVE-2023-35628 | Windows MSHTML Platformunda Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows ODBC Sürücüsü | CVE-2023-35639 | Microsoft ODBC Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows Telefon Sunucusu | CVE-2023-36005 | Windows Telefon Sunucusunda Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows USB Yığın Depolama Sınıfı Sürücüsü | CVE-2023-35629 | Microsoft USBHUB 3.0 Aygıt Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows Win32K | CVE-2023-36011 | Win32k’de Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows Win32K | CVE-2023-35631 | Win32k’de Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| XAML Tanılaması | CVE-2023-36003 | XAML Tanılamasında Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |