Microsoft, Eylül ayında iki sıfır gün güvenlik açığını açıkladı: ProxyNotShell saldırılarıyla ilişkili Exchange Server’da Ayrıcalık Yükselmesi Güvenlik Açığı (CVE-2022-41040) ve Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı (CVE-2022-41082). Yamalar Kasım ayında yayınlanana kadar bir dizi geçici hafifletme de sağlandı. Son iki ayda bu güncellemeleri dağıtmayı ertelediyseniz, artık yüksek risk altındasınız demektir.
Crowdstrike’taki araştırmacılar, Play adlı yeni bir fidye yazılımı türünün bir PowerShell uzak hizmetine erişmek için CVE-2022-41080’i ve ardından uzaktan kod çalıştırmak için CVE-2022-41082’yi kullandığını duyurdu. Buradaki en önemli nokta, bu yeni güvenlik açığı üzerinden bu erişim yönteminin, Microsoft tarafından sağlanan geçici azaltmaları tamamen atlamasıdır; ancak güncellemeleri zamanında yüklediyseniz, korunursunuz. ertelemeyin.
Genellikle istediğimiz kadar hızlı hareket edemememizin ticari nedenleri vardır, ancak gelecek değişikliklere ilişkin duyurular yıllar öncesinden yapıldığında planlamamız ve yanıt vermemiz gerekir. Microsoft, Windows 7 ve Server 2008/2008 R2 Genişletilmiş Güvenlik Güncelleştirmesi (ESU) programına başlayalı üç yıl oldu ve bu işletim sistemleri için son güvenlik güncelleştirmeleri önümüzdeki hafta yayınlanacak. Son tarihin çok ötesinde çalışmaya devam edecek olsalar da, yeni güvenlik açıkları keşfedilmeye devam edecek ve bu sistemler giderek artan bir istismar riski altında çalışacak. Üzerinde çalışan uygulamaları da unutmayın.
Google, Şubat 2023’te Windows 7 için Chrome desteğini bıraktıklarını ve Chrome 109’un bu işletim sistemlerini destekleyen son sürüm olacağını duyurdu. Yakında daha fazla satıcı, bu işletim sistemleri için ürün desteğini sonlandırmayı takip edecek, bu nedenle buna göre plan yapın.
Microsoft’un bu ay Exchange Online için Temel Kimlik Doğrulama desteğini sonlandırdığına dair son bir hatırlatma. Tatilden hemen önce başka bir duyuru yayınlayarak herkese ‘zamanın dolduğu’ konusunda son bir uyarı verdiler. Kalan tüm etkilenen kiracılar, devre dışı bırakılmadan bir hafta önce Mesaj Merkezi aracılığıyla bilgilendirilecek ve gerekli değişiklikleri yapmaları gerekecektir. Duyuru, ayrıntılı rehberlikle birlikte bağlantılı KB’ler içerir. Bunu gerçekten erteleyemezsiniz çünkü Microsoft anahtarı kapattığında kısa süre sonra Exchange’e erişiminizi kaybedersiniz.
Ocak 2023 Yama Salı tahmini
- Tatiller nedeniyle Aralık ayında her zamanki gibi önizleme güncellemesi olmadı, bu nedenle yılın ilk sürümü her zaman ilgi çekicidir. Tahminimin aksine, Aralık Yaması Salı sürümü, düzeltilen CVE’ler açısından küçüktü, bu nedenle hem işletim sistemlerinde hem de uygulama güncellemelerinde çok sayıda CVE’nin ele alınmasını bekliyorum. Ayrıca mümkün olduğu kadar çok sorunu çözmek için ESU’yu bir dizi büyük güncellemeyle sonlandırmak isteyebilirler.
- Yeni ilk çeyrek geldi, bu nedenle Adobe Acrobat ve Reader için büyük bir güncelleme bekleyin.
- Apple, Aralık ortasında Ventura, Monterey, Big Sur, iOS ve Safari için güncellemeler yayınladı. Yeni bir sıfır gün ortaya çıkmadığı sürece, önümüzdeki hafta Mac dünyasında sessizlik hakim olacaktır.
- Google, bu hafta sonlarında hem Kararlı Kanal ChromeOS 108.0.5359.172’yi hem de Uzun Süreli Destek Kanalı ChromeOS 102.0.5005.194’ü piyasaya sürdü, bu nedenle yakın dönemde başka bir güncelleme beklemiyorum.
- Firefox, Firefox ESR ve Thunderbird için bildirilen CVE’lerle Mozilla’nın son güncellemeleri Aralık ortasından sonuna kadardır. O zamandan beri ek yayınlar yapıldı, bu yüzden önümüzdeki hafta onlardan da büyük bir güncelleme göremeyebiliriz.
Yeni bir yıl ve yeni bir başlangıç yapma zamanı. Geçen ay senden gerçekten istediğin ve başarabileceğin bazı Yeni Yıl kararları vermeni istemiştim, o yüzden başlayalım.