Microsoft’un aylık ek ürünleri, mesaj kuyruğu hizmetinde kritik olarak derecelendirilen ve uzaktan kod yürütmeye (RCE) olanak tanıyan üç hata içeriyor.
CVE-2023-35385, CVE-2023-36910 ve CVE-2023-36911, Windows Message Queuing hizmeti etkinleştirilmişse sunucuları saldırıya açık hale getirir.
Ayrıca, daha düşük dereceli, ancak vahşi ortamda istismar edilen iki güvenlik açığı vardır.
CVE-2023-38180, 7,5 CVSS puanına sahiptir ve .NET ve Visual Studio’da bir hizmet reddi hatasıdır. Microsoft, güvenlik açığıyla ilgili daha fazla ayrıntı sağlamadı.
İstismar edilen diğer hata ilk olarak Temmuz ayında açıklandı: CVSS puanı 7,5 olan bir Windows Search RCE olan CVE-2023-36884.
Microsoft, hataya, kullanıcının etkileşime girmesi gereken (bir bağlantıyı tıklatarak veya bir eki açarak) hazırlanmış bir dosya aracılığıyla e-posta veya anlık iletiler yoluyla saldırılabileceğini açıkladı.
Microsoft, “Bir saldırgan, Web İşareti (MOTW) savunmalarından kaçan kötü amaçlı bir dosya yerleştirebilir ve bu da kurban sistemde kod yürütülmesine neden olabilir” dedi.
Yeni danışma belgesi, CVE-2023-36844’ün “Windows Search güvenlik özelliği atlama güvenlik açığına (CVE-2023-36884) yol açan saldırı zincirini durduran” bugünkü yama yüklenerek düzeltilebileceğini açıkladı.
“Microsoft, bu danışma belgesinde açıklanan Office güncelleştirmelerinin yanı sıra Ağustos 2023’ten itibaren Windows güncelleştirmelerinin yüklenmesini önerir.”
SANS Enstitüsü, Microsoft’un toplamda 88 güvenlik açığı açıkladığını söyledi.