Yama Salı bu yıl Sevgililer Günü’ne denk geliyor ama özel bir tarih mi olacak? Her türden devam eden siber saldırı olsa da, Microsoft’tan yeni yamaların yayınlanması konusunda nispeten sessiz kaldı. Günü doldurmak için Google ve Mozilla’dan bazı güncellemeler alabilirsek de, bu eğilimin önümüzdeki hafta da devam etmesini bekleyin.
Yeni fidye yazılımları tarafından hedeflenen VMware ESXi’deki eski bir güvenlik açığı, bu ayın en önemli konusu oldu. VMware, 2021’de uzaktan kod yürütülmesine izin verebilecek bir yığın taşması güvenlik açığı olan CVE-2021-21974’ü ele alan bir yama yayınladı.
Bu güvenlik açığı, Açık Hizmet Konum Protokolü’nde (OpenSLP) mevcuttur ve 2021’deki bu keşfin ardından ek bir hafifletme olarak, VMware, kullanıma hazır koruma sağlamak için yazılımlarını bu hizmet varsayılan olarak devre dışı bırakılmış olarak göndermeye başladı. Bu güvenlik açığından en son yararlanma Şubat ayı başlarında bildirildi ve ESXiArgs saldırısı olarak anılıyor. ESXi hipervizörüne erişim için bu güvenlik açığını kullanarak barındırılan sanal sistemlerle ilişkili birçok dosya türünü şifreleyen fidye yazılımı ortaya çıktı.
ABD Siber Bilgi Güvenliği Enstitüsü, bazı dosyaların şifresini çözmeye yardımcı olabilecek bir kurtarma aracı yayınladı, ancak aracı çalıştırmadan önce benioku dosyasını dikkatlice incelemeniz konusunda uyardılar. Bunun gibi daha eski bir güvenlik açığının hala açık olması ve istismar edilmesi, birçok kuruluşun potansiyel olarak kritik altyapı sistemlerini onarmak ve güncellemek konusunda yavaş olduğunu gösteriyor. Bunun nedeni, konunun bilinmemesi, ‘kırık değilse dokunma’ zihniyeti, iş operasyonları uyumluluğu için belirli bir sürümde kalma ihtiyacı veya belki de geçen ay bahsettiğim erteleme olabilir, ancak her durumda, şirketi en azından kesinti ve en kötü ihtimalle sömürü riskine sokar.
Her ay dağıttığımız güncellemelere bir şekilde öncelik vermeliyiz. Birçoğu için, FIRST’ün Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) bu süreçte itici güç olmuştur. Gerçek CVSS sayısının hesaplanmasının arkasındaki ana hedeflerden biri, tüm CVE’lerin tutarlı bir şekilde puanlanması ve doğru bir şekilde karşılaştırılabilmesi için standardizasyonu sağlamaktır.
Bir güvenlik açığı ve ilişkili yama için CVSS puanı ne kadar yüksekse, çoğu ortamda dağıtılması o kadar kritiktir. Yakın tarihli bir makalede CVSS puanlarının analizinin sonuçlarının CVSS puanlarının yaklaşık %20’si (25.000) için bir tutarsızlık olduğunu gösterdiğini görmek beni oldukça şaşırttı. Bu, NIST Ulusal Güvenlik Açığı Veritabanında (NVD) rapor edilen puanlarla doğrudan satıcıların kendileri tarafından bildirilen puanların karşılaştırmasına dayanıyordu.
Genel CVSS sayısını hesaplamak için girilen değerler üzerinde bir miktar takdir yetkisi olduğu yüzeyde görünmektedir. Akılda tutulması gereken önemli bir nokta, sağlayıcıların geçmişte kendi terminolojilerini kritik, önemli vb. satıcılar arasında yamaların doğru bir karşılaştırmasını sağlar.
Aslında, birçoğu tamamen farklı terminoloji kullanır. Aynı şekilde, satıcı önem derecesi her zaman olumlu bir gösterge değildir – birçok sıfır gün güvenlik açığı Microsoft tarafından “Önemli” olarak derecelendirilmiştir ancak yüksek CVSS sayılarına sahip olabilir. Mevcut güncellemeleri önceliklendirmek için kullanılan metodolojiden bağımsız olarak ve CVSS sayıları gibi sonuçlarda bir çelişki görürseniz, riski her zaman SİZİN ortamınız açısından göz önünde bulundurmalısınız. Sistemlerinizi en iyi siz bilirsiniz ve şüpheye düştüğünüzde en kritik olanlara yama yapmalısınız.
Geçen Salı Yaması’ndan bu yana sürümler için sakin bir ay oldu. Microsoft, XPS belge dosyalarıyla ilgili görüntüleme sorunlarını gidermek için .NET çerçevesi ve .NET çekirdeği için güvenlikle ilgili olmayan bir bant dışı güncelleştirme yayımladı. Bu sürümler, Windows güncellemesi yoluyla kurulmaz, ancak Microsoft Güncelleme Kataloğu aracılığıyla edinilebilir. Önümüzdeki hafta genel yama sürümünün bir parçası olup olmadıklarını görmemiz gerekecek.
Şubat 2023 Yama Salı tahmini
- Microsoft, geçen ay Windows 7 ve Server 2008 ESU kapanışı için çok sayıda CVE’yi ele alma tahminimi gerçekleştirdi. Windows 11 ve Windows 10’da bile sırasıyla 66 ve 64 CVE adreslendi. Biraz yetiştikleri için bu ay ele alınan daha az CVE olacağından şüpheleniyorum, bu nedenle tüm sunucu ve masaüstü işletim sistemleri için hafif bir dizi güncelleme bekleyin.
- Adobe, geçen Yama Salı günü Acrobat ve Reader için üç aylık büyük güncellemelerini yayınladı, bu nedenle bu ay yalnızca küçük bir güncelleme bekliyoruz.
- Apple, Ocak ayının sonlarında Ventura, Monterey, Big Sur, iOS ve Safari için başka bir güncelleme seti yayınladı. Önümüzdeki hafta için herhangi bir güncelleme beklemiyorum.
- Google, Chrome 111’i bu hafta tüm beta kanallarında yayınladı, bu nedenle önümüzdeki hafta resmi olarak yayınlanmaya hazır olun.
- Mozilla, büyük ihtimalle önümüzdeki hafta veya daha sonra Firefox, Firefox ESR ve Thunderbird için yeni güvenlik güncellemelerine sahip olacak.
Önümüzdeki hafta için beklenen güncellemeler çok yönetilebilir görünüyor, bu nedenle günün sonunda sevdiğiniz biriyle geçirecek biraz zamanınız olmalı! Eğlence!