2025’e ve yama heyecanıyla dolu yeni bir yıla hoş geldiniz! Aralık ayındaki yazımda Microsoft’un Güvenli Gelecek Girişimi’nden (SFI) ve bunun 2024’te piyasaya sürülen birçok Microsoft ürününde nasıl ortaya çıktığından bahsetmiştim. Bu güvenlik teknolojisi trendi 2025’te devam edecek olsa da, kılavuzlarda da bazı büyük değişiklikler göreceğimize inanıyorum. güvenlik gereksinimleri, operasyonlar ve sektörümüzle ilgili diğer hususlarla ilgili.
Bu ayrıntılardan bazılarına girmeden önce Aralık 2024 Yaması Salı gününü hızlıca özetleyelim.
Microsoft güncelleştirmeleri kümesi
Microsoft, yalnızca Windows 10, Windows 11, Office ve Sharepoint için geçerli olan küçük bir güncelleştirme kümesi yayımladı. Göreceli olarak belirsiz Microsoft/Muzic için bağımsız bir SSU güncellemesi yoktu ve yalnızca tek bir geliştirme aracı güncellemesi vardı. Microsoft Windows güncellemeleri, iş istasyonundaki ve ilgili sunucu işletim sistemlerindeki 58 CVE’yi ele aldı.
Yalnızca CVE-2024-49138 hem kamuya açıklandı hem de istismar edildiği biliniyordu. Muhtemelen Microsoft’un, CVE açıklamalarıyla içerdiği bilgi miktarını sıklıkla sınırladığını fark etmişsinizdir; örneğin bu CVE örneğinde: “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, SİSTEM ayrıcalıkları kazanabilir.”
Bu, aktif olarak istismar edilen tek CVE olsa da, CVE-2024-49113 ve CVE-2024-49112 dahil olmak üzere, etki alanı denetleyicilerinde zincirlenip diğer Windows sunucularını hızla çökertmek için kullanılabilen diğer birkaç CVE hakkında da endişeler var. Makale, üst düzey bir açıklama ve bu güvenlik açıklarına ilişkin ayrıntılı SafeBreach incelemesine bir bağlantı içermektedir. İyi haber şu ki, Microsoft’un Aralık güncellemesinin etkinliğini kanıtladılar, bu nedenle bu yamaları uygulama konusunda güncel olduğunuzdan emin olun.
.NET Yükleyicileri
Microsoft, .NET Yükleyicilerinizin kaynağını kontrol etmeleri için geliştiricilere bir eylem çağrısı içeren kritik bir duyuru gönderdi. Microsoft’a göre Edg,io iflas nedeniyle yakında faaliyetlerini durduracak. “Azureedge.net etki alanlarında yakın zamanda kesinti yaşanabilir. Bu alan adlarının 2025’in ilk birkaç ayında kalıcı olarak kullanımdan kaldırılmasını bekliyoruz.” Microsoft, yaptıkları değişiklikleri ve önerilen yanıt etkinliklerini harekete geçirici mesaj olarak sağlar.
Önemli olaylar
Dikkate değer iki olay, daha önce bahsettiğim siber güvenlik rehberliğinde yaklaşan değişikliklerin başlangıcının habercisidir. İlk etkinlik, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nda (HIPAA) önerilen bir dizi değişikliktir. HIPAA, kişisel tıbbi kayıtların ‘dijitalleştirildiği’ ve belgeleri yöneten sistemlerin güvenliğine değil, hasta mahremiyetinin sağlanmasına odaklandığı bir dönemde tanıtıldı.
Önerilen değişiklikler sağlık sektörünü önemli ölçüde etkileyecek ve güvenlik gereksinimlerini geleneksel güvenlik çerçeveleriyle daha uyumlu hale getirecek. İkinci olay ise yeni gelen Trump 2.0 yönetimi ve bunun CISA ve diğer federal örgütler üzerindeki etkisidir. Başkan Trump, CISA’yı oluşturan yasayı 2018’de imzaladı. Yeni örgütün amacı, ABD altyapısını siber saldırılara karşı savunma konusunda rehberlik sağlamak ve siber savunmayı geliştirmek için ticari sektörle birlikte çalışmaktı.
Yeni yönetimin, özel sektörün daha hızlı ilerleyebilmesi için düzenlemeleri kaldırma isteğini belirtmesiyle birlikte, CISA’nın sağlayacağı rehberlik türünde bazı değişiklikler görebiliriz. Ayrıca ABD’nin yapay zeka teknolojisinde lider olma arzusunu dile getirerek, CISA’nın yapay zeka tabanlı güvenliğin bu yönüne daha fazla dahil olduğunu görebiliriz. Bunun nasıl gelişeceğini zaman gösterecek. Bunlar, yeni rehberlikle sonuçlanacak ve muhtemelen güvenlik operasyonlarını yürütme şeklimizi etkileyecek son olaylardan sadece ikisi, ancak 2025’te kesinlikle daha fazla değişiklik olacak.
Ocak 2025 Yaması Salı tahmini
- Microsoft, tatilden sonra tamamen güncel olacak; bu nedenle işletim sistemi, geliştirici araçları ve uygulamalar için kapsamlı güncellemeler bekliyoruz.
- Adobe, geçen Salı günü portföyündeki hemen hemen her ürün için güvenlik güncellemeleri sağladı. Gelecek hafta bazı küçük yayınlar görebiliriz, ancak çok fazla bir şey beklemeyin.
- Apple ayrıca geçen ay tüm işletim sistemleri ve Safari tarayıcısı için güvenlik güncellemeleri yayınladı. Burada da çok fazla güncelleme beklemeyin.
- Bu hafta Google Chrome ve ChromeOS için bazı erken kanal, sınırlı güncellemeler gördük, bu nedenle önümüzdeki hafta geniş çaplı dağıtım duyuruları bekliyoruz.
- Mozilla Vakfı, 7 Ocak’ta tüm ürünleri için güvenlik güncellemelerini yayınladı. Bunlar, Firefox’ta bildirilen maksimum 11 güvenlik açığıyla birlikte Yüksek ve Orta dereceli güncellemelerin bir karışımıydı. Bu sürümler Thunderbird ESR 128.6 ve Thunderbird 134, Firefox ESR 115.1, Firefox ESR 128.6 ve son olarak Firefox 134’tür. Henüz dağıtmadıysanız bunları Salı Yaması karışımınıza dahil ettiğinizden emin olun.
2025, yeni Windows işletim sistemleri, yapay zeka teknolojileri ve güvenlik rehberliği ve operasyonlarındaki değişikliklerle sektörümüz için oldukça dönüştürücü bir yıl olabilir. Eğlenceli bir yolculuk için beklemede kalın!