Geçen ay yayınlanan tüm önemli güncellemeler hakkında bilmeniz gerekenler burada.
Apple iOS ve iPadOS 16.1.1
Apple, iPhone üreticisinin tüm kullanıcılara uygulamasını önerdiği iOS ve iPadOS 16.1.1’i yayınladı. Yama, iki güvenlik açığını düzeltir ve sürümün hızı göz önüne alındığında, bunların oldukça ciddi olduğunu varsayabilirsiniz.
Apple’ın destek sayfasına göre, CVE-2022-40303 ve CVE-2022-40304 olarak izlenen libxml2 yazılım kitaplığındaki iki açık, bir saldırganın uzaktan kod yürütmesine izin verebilir. Her iki sorun da Google’ın Project Zero için çalışan güvenlik araştırmacıları tarafından bildirildi.
Mac kullanıcıları için, kusurlar macOS Ventura 13.0.1 tarafından giderildi.
İyi haber şu ki, her iki güvenlik açığının da saldırganlar tarafından istismar edilmediğine inanılıyor, ancak yine de güncellemeyi mümkün olan en kısa sürede uygulamak iyi bir fikir.
Microsoft Windows
Microsoft’un Kasım Yaması Salı günü, Windows üreticisinin dördü sıfır gün olan 68 güvenlik açığını düzelttiğini gören başka bir büyük sürümdü.
CVE-2022-41073 olarak izlenen ilki, bir siber suçlunun sistem ayrıcalıkları kazanmasına olanak verebilecek bir Windows yazdırma biriktiricisi ayrıcalık yükselmesi güvenlik açığıdır. Bu arada, CVE-2022-41125, bir saldırganın ayrıcalıkları yükseltmesine ve sistemin kontrolünü ele geçirmesine izin verebilecek bir Windows Şifreleme Yeni Nesil anahtar yalıtım sorunudur. CVE-2022-41128, uzaktan kod yürütülmesine neden olabilecek bir Windows betik dili güvenlik açığıdır. Son olarak, CVE-2022-41091, Microsoft’un Web İşareti güvenlik özelliğindeki bir güvenlik açığıdır.
Google Android
Google’ın Android cihazlarının kullanıcıları için daha büyük güncellemeler, Google’ın bazıları ciddi olan birden çok güvenlik açığı için yamalar yayınlamasıyla Kasım ayında geldi. Google, bir güvenlik danışma belgesinde, listenin başında, Çerçeve bileşeninde yerel ayrıcalık artışına yol açabilecek yüksek önem dereceli bir güvenlik açığı olduğunu söyledi.
Kasım ayındaki yamalar, Media Framework bileşenlerini (CVE-2022-2209) ve WiFi’yi (CVE-2022-20463) etkileyen sorunlar için iki Google Play sistem güncellemesi içeriyor. Google, Pixel cihazlarını etkileyen beş sorunu da düzeltti.
Android güncellemeleri, üçüncü ve dördüncü nesil katlanabilir Galaxy cihazları da dahil olmak üzere Samsung cihazlarına yayılmaya başladı. Güncellemeyi Ayarlarınızda kontrol edebilirsiniz.
Google Chrome
Dünyanın en popüler tarayıcısı, Google’ın bu yılki sekizinci sıfır gün güvenlik açığını bu ay düzeltmesiyle, saldırganlar için önemli bir hedef olmaya devam ediyor.
CVE-2022-4135 olarak izlenen güvenlik açığı, Google’ın kendi tehdit analiz grubunda araştırmacı olan Clement Lecigne tarafından bildirilen GPU’da bir öbek arabellek taşmasıdır. Google, “vahşi ortamda CVE-2022-4135 için bir istismar olduğunun farkında” dedi.
Ayın başlarında Google, altısı yüksek önem dereceli olarak derecelendirilen 10 Chrome güvenlik açığını düzeltmek için bir güncelleme yayınladı. Bunlar, ücretsiz kullanım sonrası dört hatayı içerir: CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 ve CVE-2022-3888. Bu arada, CVE-2022-3889, V8’de bir “tür karışıklığı” sorunudur ve CVE-2022-3890, Crashpad’de bir yığın arabellek taşmasıdır.
Mozilla Firefox
Kasım, Google Chrome rakibi Firefox için de büyük bir aydı. Mozilla, sekizi yüksek etkiye sahip olarak işaretlenen 19 güvenlik açığını düzelten Firefox 107’yi yayınladı.
En önemli yamalardan biri, bir saldırganın kullanıcı bildirim istemini görmeden bir pencerenin tam ekrana geçmesine neden olabilecek bir tam ekran bildirim baypası olan CVE-2022-45404’tür. Bu, sahtekarlık saldırılarına neden olabilir. Bu arada, ücretsiz kullanımdan sonra birkaç hata, istismar edilebilir bir çökmeye yol açabilir ve bir kusur, rastgele kod çalıştırmak için kullanılabilir.
VMWare
Yazılım üreticisi VMWare, VMware Workspace ONE Assist’te üçü CVSSv3 taban puanı 9,8 olan birden çok güvenlik açığı için güvenlik düzeltmeleri yayınladı. İlki olan CVE-2022-31685, bir kimlik doğrulama atlama güvenlik açığıdır. VMWare bir danışma belgesinde “Workspace ONE Assist’e ağ erişimi olan kötü niyetli bir aktör, uygulamada kimlik doğrulaması yapmasına gerek kalmadan yönetim erişimi elde edebilir” uyarısında bulundu.
CVE-2022-31686 olarak izlenen bozuk bir kimlik doğrulama yöntemi güvenlik açığı, ağ erişimi olan kötü niyetli bir aktörün kimlik doğrulaması gerekmeden yönetici erişimi elde etmesine olanak sağlayabilir.