Nisan Salı Yaması Rekor Sayıda Düzeltme Getiriyor – Krebs Güvenlik Konusunda


Keşke Salı günleri nadiren gelseydi – nadir görülen tam güneş tutulması gibi – Aydaki Adam gibi her ay üzerimize sürünmek yerine. Adil olmak gerekirse, bu bizim için zor olurdu. Microsoft Bu ayın yama grubunda düzeltilen güvenlik açıklarının sayısını gölgede bırakmak için – 147’lik bir rekor pencereler ve ilgili yazılım.

Evet, doğru okudun. Microsoft bugün Windows’taki 147 güvenlik açığını giderecek güncellemeler yayınladı. Ofis, Azure, .NET Çerçevesi, Görsel stüdyo, SQL Server, Dns sunucusu, Windows Defender’ı, Bit kilitleyiciVe Windows Güvenli Önyükleme.

“Bu, Microsoft’un bu yılki en büyük ve en az 2017’den beri en büyük sürümü” dedi Dustin Childs’ınitibaren Trend Micro’nun Sıfır Gün Girişimi (ZDI). “Anlayabildiğim kadarıyla bu, Microsoft’un tüm zamanların en büyük Salı Yaması sürümü.”

Bu ay bir kez daha, Windows kullanıcılarını tehdit eden bilinen hiçbir sıfır gün güvenlik açığı bulunmuyor. Bu ayın yamalarının hacminin hafifletilmesi, birçok hatanın orta düzeydeki ciddiyetinden kaynaklanıyor. Nisan ayındaki güvenlik açıklarından yalnızca üçü, Microsoft’un en ciddi “kritik” derecesini aldı; bu, kötü amaçlı yazılımlar veya kötü niyetli kişiler tarafından, kullanıcılardan yardım almadan yama yapılmamış sistemler üzerinde uzaktan kontrol sağlamak için kötüye kullanılabilecekleri anlamına geliyor.

Microsoft’un bu ay “istismar edilme olasılığının daha yüksek” olduğunu düşündüğü kusurların çoğu “önemli” olarak işaretlendi; bunlar genellikle biraz daha fazla kullanıcı etkileşimi (sosyal mühendislik) gerektiren ancak yine de sistem güvenliğinin atlanması, tehlikeye atılması, güvenlik ihlaliyle sonuçlanabilecek hataları içerir. ve kritik varlıkların çalınması.

Ben McCarthysiber güvenlik mühendisine liderlik ediyor Sürükleyici Laboratuvarlar CVE-2024-20670’e dikkat çekildi, Windows için Outlook suistimal edilmesi kolay olarak tanımlanan sahtecilik güvenlik açığı. Bu, bir kullanıcıyı bir e-postadaki kötü amaçlı bir bağlantıya tıklamaya ikna etmeyi içerir; bu daha sonra kullanıcının parola karmasını çalabilir ve başka bir Microsoft hizmetinde kullanıcı olarak kimlik doğrulayabilir.

McCarthy’nin işaret ettiği bir diğer ilginç hata ise Azure’un arama arka uç altyapısındaki sabit kodlanmış kimlik bilgilerini içeren CVE-2024-29063’tür. Azure yapay zekası aramak.

McCarthy, “Bu, son haberlerdeki diğer birçok yapay zeka saldırısıyla birlikte, nasıl azaltacağımızı yeni öğrendiğimiz potansiyel yeni bir saldırı yüzeyini gösteriyor” dedi. “Microsoft arka uçlarını güncelledi ve kimlik bilgisi sızıntısından etkilenen tüm müşterileri bilgilendirdi.”

CVE-2024-29988, saldırganların atlamasına olanak tanıyan bir zayıflıktır Windows SmartScreenMicrosoft’un son kullanıcılara kimlik avı ve kötü amaçlı yazılım saldırılarına karşı ek koruma sağlamak üzere tasarladığı bir teknolojidir. Childs, ZDI araştırmacılarından birinin bu güvenlik açığının doğada istismar edildiğini bulduğunu ancak Microsoft’un şu anda CVE-2024-29988’i istismar edilenler olarak listelemediğini söyledi.

Childs, “Microsoft açıklığa kavuşana kadar bu durumu gerçek hayattaki gibi ele alacağım” dedi. “Böceğin kendisi CVE-2024-21412’ye çok benziyor; [zero-day threat from February] Bu, Web İşareti özelliğini atladı ve kötü amaçlı yazılımların hedef sistemde çalıştırılmasına izin verdi. Tehdit aktörleri, EDR/NDR tespitinden kaçınmak için sıkıştırılmış bir dosyada açıklardan yararlanıyor ve ardından Mark of the Web’i atlamak için bu hatayı (ve diğerlerini) kullanıyor.”

Satnam Narang en savunulabilir bu ayki sürümün iki düzine kusura yönelik düzeltmeler içerdiğini belirtiyor Windows Güvenli ÖnyüklemeMicrosoft’a göre çoğunluğu “Kullanım Olasılığı Daha Az” olarak kabul ediliyor.

Narang, “Ancak Microsoft’un Mayıs 2023’te Windows Güvenli Önyükleme’deki bir kusuru en son yamalaması, bu kusurun vahşi ortamda istismar edilmesi ve dark web forumlarında 5.000 dolara satılan BlackLotus UEFI önyükleme kitiyle ilişkilendirilmesi nedeniyle dikkate değer bir etki yarattı” dedi. “BlackLotus, kötü amaçlı yazılımların önyükleme sırasında yüklenebilmesini engellemek için tasarlanmış, güvenli önyükleme adı verilen işlevi atlayabilir. Bu ay ele alınan Güvenli Önyükleme güvenlik açıklarının hiçbiri yaygın olarak istismar edilmese de, Güvenli Önyükleme’deki kusurların devam ettiğini ve gelecekte Güvenli Önyükleme ile ilgili daha fazla kötü amaçlı etkinlik görebileceğimizi hatırlatıyor.”

Önem derecesine göre indekslenen bireysel güvenlik tavsiyelerine bağlantılar için ZDI’nin bloguna ve SANS Internet Storm Center’ın Salı Yaması gönderisine göz atın. Lütfen güncellemeden önce verilerinizi veya sürücünüzü yedeklemeyi düşünün ve bu düzeltmeleri uygularken herhangi bir sorunla karşılaşırsanız buradaki yorumlara not bırakın.

Adobe bugün bir dizi yazılım ürünündeki en az iki düzine güvenlik açığını ortadan kaldıran dokuz yama yayınladı. Adobe After Effects, Photoshop, Ticaret, InDesign, Deneyim Yöneticisi, Medya Kodlayıcı, Köprü, İllüstratörVe Adobe Animasyonu.

KrebsOnSecurity’nin, Mart ayının sonundaki “Yağlı Yama Salı” gönderisinin sonunda bahsedilen ve yerleşik yeni AI yeteneklerini inceleyen bir noktada kaydı düzeltmesi gerekiyor. Adobe Acrobat varsayılan olarak açıktır. Adobe, SSS bölümünde orijinal dilin önerdiği gibi, uygulamalarının belgelerinizi otomatik olarak taramak için AI kullanmayacağını açıkladı.

Adobe bu ayın başlarında yaptığı açıklamada, “Uygulamada, kullanıcı koşulları kabul ederek, bir belgeyi açarak ve söz konusu belge için AI Asistanını veya üretken özet düğmelerini seçerek AI özelliklerini aktif olarak kullanmadığı sürece hiçbir belge taraması veya analizi gerçekleşmez.” dedi.



Source link