“Yazılımlar neden bu kadar çok zafiyet barındırmaya devam ediyor?” sorusunun cevabı. karmaşıktır, çünkü yazılımın kendisi çok karmaşıktır.
Güvenlik açıklarını test edecek araçların eksikliğini, geliştiricilerin kendi güvenlik bilgi ve deneyimlerini, işletim sistemleri ve uygulamalar arasındaki sonsuz etkileşim varyasyonlarını ve yazılımın içine girdiği ağ ortamlarının karmaşıklığını kapsayan birçok makale yazılmıştır. isme konuşlandırılır, ancak birkaç katkıda bulunan faktör.
Devam eden araştırmalar, daha fazla güvenlik açığı bulmaya devam ediyor ve ara sıra bunların vahşileşmeden önce nasıl kaldırılacağına dair bazı içgörüler buluyor. Yine de, amansız tehdidin önünde kalmak için bir yarış.
Sıfır Gün Girişimi
Zero Day Initiative (ZDI), güvenlik açıklarının erken keşfedilmesine katkıda bulunan ve hızlı yanıt için bulgularını satıcılarla paylaşan bir araştırma programıdır. Araştırmacılar bir hata ödülü ile teşvik edilir ve satıcı bir düzeltme sağlayana kadar gizlilik kesinlikle korunur.
ZDI, Mart ayı sonlarında PWN2OWN VANCOUVER 2023 konferansına her zaman heyecan verici sonuçlarla ev sahipliği yaptı. Saldırı altındaki en başarılı şekilde girilen hedefler Windows 11, Ubuntu Desktop ve Oracle VirtualBox idi.
Apple macOS, Adobe Reader, Microsoft SharePoint, VMware Workstation ve hatta otomotiv kategorisinde bir Tesla kullananlara da ödüller verildi. ZDI bloguna göre: “Yarışmacılar 27 benzersiz sıfır günü açıkladılar ve toplam 1.035.000 $ (ve bir araba) kazandılar!” İyi haber şu ki, bu sorunlar yakında düzeltilecek.
vahşi saldırılar
Ne yazık ki saldırılar, açıklamaların ve acil düzeltmelerin faydaları olmaksızın bu ay vahşi ortamda da devam etti. 3CX, Windows ve macOS üzerinde çalışan Electron Uygulamasıyla ilgili bir güvenlik sorunu bildirdi. Bu güvenlik sorunu, bir tedarik zinciri saldırısının sonucu gibi görünüyor. Kaspersky, meseleleri daha da karmaşık hale getirerek, 10 yıllık güvenlik açığı CVE-2013-3900’den yararlanan ikinci aşama arka kapı kötü amaçlı yazılımını keşfetti.
Bu güvenlik açığı giderildi, ancak düzeltme eki Microsoft tarafından yalnızca “önerilen” olarak derecelendirildi. Bu, riski size ait olmak üzere erteleme hakkında yorum yaptığım Ocak ayındaki blogumu akla getiriyor. Evet, bu 10 yıllık yama başlangıçta “önerilen” olarak yayınlandı çünkü o zamanlar müşterilerin güncellemelerin dijital olarak imzalanmasıyla yapmış olabilecekleri özelleştirmeleri bozabilirdi; ancak çok zaman geçti ve yöneticilerin bu sorunu çözmek için özelleştirmelerini değiştirmeleri gerekiyordu. Son istismarı önlemek için bu güncelleme zorunlu olmalıdır.
Microsoft, güvenlikle ilgili olmayan önizleme güncellemelerini ayın dördüncü haftasına kaydırdıklarını duyurdu. Microsoft’a göre, “en son aylık güvenlik güncellemenizden iki hafta sonra ve bu özelliklerin bir sonraki zorunlu toplu güncellemenin parçası haline geldiğini görmenizden yaklaşık iki hafta önce”, bu da test için en uygun zamandır. Microsoft Windows 10 20H2 for Education and Enterprise, Mayıs ayında destek sonuna ulaşıyor, bu nedenle planınızı buna göre yapın.
Nisan 2023 Yama Salı tahmini
- Microsoft, işletim sistemlerindeki güvenlik düzeltmelerini hızlandırdı, bu nedenle bu eğilimin devam ettiğini görmeliyiz. Aynı şekilde, Office paketinde daha fazla güncelleme gördük, bu nedenle şirket içi ve tıkla çalıştır sürümlerinizde büyük güncellemeler olacak şekilde plan yapın.
- Adobe Acrobat ve Reader’ın önümüzdeki hafta üç ayda bir büyük bir güncellemesi olacaktır.
- 27 Mart, Big Sur ve Monterey için Big Sur 11.7.5, Monterey 12.6.4, Ventura 13.3 ve Safari 16.4’ün piyasaya sürülmesiyle Apple için büyük bir gündü. Bu ay herhangi bir güncelleme beklemeyin, ancak bu sürümleri mümkün olan en kısa sürede dağıtın.
- Google, Chrome OS ve Chrome for Desktop için beta güncellemeleri yayınladı, bu nedenle önümüzdeki hafta onlar için resmi bir sürüm olabilir.
- Mozilla, Mart ayında Salı Yamasını yayınlamaya devam etti, bu nedenle önümüzdeki hafta Firefox, Firefox ESR ve Thunderbird için güncellemeler bekleyin.
İstismardan önce güvenlik açıklarını keşfetmek ve düzeltmek hiç bitmeyen bir yarıştır. Genellikle isteksiz katılımcılar olarak çekildiğimiz için, rekabette bir adım önde olmak için yamalar yayınlandıkça hızımızı korumamız ve sistemlerimizi güncellememiz çok önemlidir.