Microsoft’un normal yama gününde 105 güvenlik açığından oluşan bir tampon ürün ortaya çıkıyor, ancak çok azı kritik bir CVSS puanına sahip.
Halihazırda istismar edilen güvenlik açıkları arasında en son HTTP2 Hızlı Sıfırlama hatası da yer alıyor. iTnews burada yayınlandı (CVE-2023-44487); Microsoft’un burada ayrıntılı olarak tartıştığı bir Wordpad hatası, CVE-2023-36563; ve CVE-2023-41763, Skype Kurumsal’da ayrıcalık yükseltme.
Wordpad hatası iki açıdan sıkıntılıdır.
Birincisi, Microsoft’un blog yazısında açıkladığı gibi kimlik bilgilerinin açığa çıkmasına neden olabilir.
“OLESTREAM’de bağlantılı nesneler olduğunda, bu işlevler, dönüşüm için gerekli bilgileri almak üzere bağlantı kaynağının bulunduğu sunucuda otomatik olarak kimlik doğrulaması yapabilir” dedi.
“OLESTREAM, internetten indirilen bir RTF belgesi veya RTF tabanlı bir e-posta mesajı gibi güvenilmeyen bir kaynaktan geliyorsa, kullanıcının NTLM kimlik bilgileri, kullanıcının bilgisi olmadan uzaktaki kötü amaçlı bir sunucuya açıklanabilir.”
İkincisi, güvenlik açığı, Outlook ve Word de dahil olmak üzere Wordpad işlevini kullanan diğer uygulamalar tarafından devralınmıştır.
Bugün ele alınan hataların birçoğunun CVSS puanları 9,0’ın (kritik) üzerindedir.
CVE-2023-36434, Windows IIS sunucusunda bir ayrıcalık yükseltmesidir, ancak Microsoft, güçlü parolalarla engellenmesi gereken bir kaba kuvvet güvenlik açığı olduğundan bu istismarın olası olmadığını söyledi.
Ayrıca Microsoft’un Mesaj Queuing’inde CVE-2023-35349 ve CVE-2023-36697 olmak üzere iki RCE güvenlik açığı bulunmaktadır.
CVE-2023-35349 için herhangi bir ayrıntı sağlanmadı, ancak Microsoft, CVE-2023-36697’nin bir saldırganın “hedef makinedeki bir kullanıcıyı kötü amaçlı bir sunucuya bağlanmaya veya meşru bir MSMQ sunucu ana bilgisayarını tehlikeye atmaya ve onu bir sunucu olarak çalıştırmaya ikna etmesi” gerektiğini söyledi. kötü niyetli sunucu.”