Microsoft, aylık döngüsünde, sıfır gün olarak derecelendirilen ve istismar edilen üç sıfır gün de dahil olmak üzere 77 güvenlik açığını yamaladı.
CVE-2023-21823, Windows grafik bileşeninde saldırgana SİSTEM ayrıcalıkları sağlayan bir RCE hatasıdır.
Müşterilere, kullanıcının otomatik güncelleştirmeleri etkinleştirmesi durumunda düzeltmelerin Windows Mağazası aracılığıyla gönderileceği söylendi; değilse, yamayı manuel olarak yüklemeleri gerekecektir.
CVE-2023-21715, kimliği doğrulanmış bir saldırganın kötü amaçlı dosyaları engelleyen Office makro ilkelerini atlamasına olanak tanıyan yerel bir güvenlik açığıdır.
Bu arada, CVE-2023-23376, Windows ortak günlük dosya sistemi sürücüsündeki yerel bir ayrıcalık yükselmesi hatasıdır.
Beş yama, CVSS 3.0 puanları 9’un üzerinde olan güvenlik açıklarını kapsar.
CVE-2023-21808, kötü amaçlı bir RTF dosyası aracılığıyla Microsoft Word’e yönelik RCE saldırılarına izin veren kritik dereceli bir güvenlik açığıdır.
Microsoft, saldırı vektörlerinin önizleme bölmesini içerdiğini söyledi.
“Kimliği doğrulanmamış bir saldırgan, kötü amaçlı dosyayı açmak için kullanılan uygulama içindeki komutları yürütmek için erişim kazanmalarına izin verecek bir RTF yükü içeren kötü amaçlı bir e-posta gönderebilir” dedi.
CVE-2023-21803, Windows iSCSI bulma hizmetindeki bir RCE’dir.
Microsoft, “Bir saldırgan, 32 bit makinelerde iSCSI Discovery Service’e özel hazırlanmış kötü amaçlı bir DHCP bulma isteği göndererek güvenlik açığından yararlanabilir” dedi.
“Güvenlik açığından başarıyla yararlanan bir saldırgan, daha sonra hedef sistemde kod yürütme yeteneği kazanabilir.”
Ayrıca Windows Korumalı Genişletilebilir Kimlik Doğrulama Protokolü’nde (PEAP) CVSS puanı 9.8 olan üç güvenlik açığı vardır.
Bunlardan ikisi, CVE-2023-21692 ve CVE-2023-21690, ağ üzerinden hazırlanmış PEAP paketleri göndererek PEAP sunucularına bir saldırı vektörü sağlar; CVE-2023-21689 ise saldırganın “rasgele veya uzaktan kod yürütmede sunucu hesaplarını hedef almasına ve bir ağ çağrısı yoluyla sunucu hesabı bağlamında kötü amaçlı kodu tetiklemeye çalışmasına” izin verir.