Microsoft 2023’ü hafif bir “Salı Yaması” iş yüküyle sonlandırdı: 47 yamadan yalnızca ikisinin Ortak Güvenlik Açıkları Puanlama Sistemi (CVSS) derecesi 9’un üzerinde.
Güvenlik açıklarından yalnızca biri daha önce açıklanmıştı ve halihazırda yararlanılan sıfır gün bulunmuyor.
Kritik güvenlik açıklarından ilki olan CVE-2023-36019’un CVSS puanı 9,6’dır.
Bu, Microsoft’un Power Platform bağlayıcılarındaki OAuth 2.0 uygulamasını etkileyen bir kimlik sahtekarlığı güvenlik açığıdır.
Hata, burada belirtilen talimatlara göre bağlayıcı başına URI güncellenerek düzeltildi.
İkinci kritik güvenlik açığı olan CVE-2023-35618’in de CVSS puanı 9,6’dır.
Bu, Edge’de ayrıcalıkların artmasına yol açan bir Chromium tarayıcı sanal alan kaçışıdır.
Microsoft’un danışma belgesinde, “Web tabanlı bir saldırı senaryosunda, bir saldırgan, güvenlik açığından yararlanmak üzere tasarlanmış özel hazırlanmış bir dosya içeren bir web sitesini barındırabilir (veya kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran, güvenliği ihlal edilmiş bir web sitesinden yararlanabilir)” dedi.
Saldırganın “genellikle bir e-posta veya Instant Messenger mesajındaki bir ikna yoluyla kullanıcıyı bir bağlantıya tıklamaya ikna etmesi ve ardından kullanıcıyı özel hazırlanmış dosyayı açmaya ikna etmesi gerekir.”
Karmaşık saldırı senaryosu nedeniyle Microsoft, CVSS puanına rağmen hatayı yalnızca “orta” olarak nitelendirdi.
Daha önce açıklanan hata, ilk olarak Ağustos ayında ortaya çıkan ve CVSS puanı 5,5 olan bir AMD sorunudur.
AMD’nin tavsiye belgesinde şu ifadeler yer aldı: “Zen 2 CPU’lardaki bir kayıt 0’a doğru şekilde yazılamayabilir. Bu, başka bir işlem ve/veya iş parçacığından gelen verilerin YMM kaydında saklanmasına neden olabilir ve bu da bir saldırganın potansiyel olarak hassas bilgilere erişmesine olanak verebilir.”