Ocak 2024 Yaması Salı’yı geride bıraktık. Windows 10’da 39, Windows 11’de 35’e yönelik 39 CVE ile Microsoft’un nispeten hafif bir sürümü ve şaşırtıcı bir şekilde yeni yıla başlarken Microsoft’tan sıfır gün güvenlik açığı yok.
Ocak ayı sürümü biraz alışılmadıktı; çünkü Office 2013 ve Office 2016 için herhangi bir güncellememiz yoktu; yalnızca çevrimiçi, tıkla-çalıştır sürümlerinde tek bir CVE güncellemesi vardı. Birazdan tartışacağım gibi sıfır gün koşu bandı yeniden başladığından bu durgunluk uzun sürmedi. Ama önce, yeni bir sunucunun ön izlemesi mevcut.
Microsoft Sunucusu 2025
Microsoft, Server 2025’in artık Windows Server Insider Channel’da mevcut olduğunu duyurdu. Resmi bir genel kullanılabilirlik tarihi vermemiş olsalar da, Server 2022 modelini takip etmesi halinde bu sonbaharda genel kullanıma sunulması bekleniyor. Microsoft, bu önizleme yapıları için ‘flighting’ adı verilen güncelleme sürecini sunarak, her seferinde yeni bir kurulum gerektirmeden yaklaşık iki haftada bir otomatik veya manuel yerinde güncellemelere izin verdi.
Server 2025 için planlanan yeni özellikler geçtiğimiz sonbaharda Microsoft Ignite’da duyuruldu. Önemli özellikler arasında Azure Arc aracılığıyla gerektiği şekilde abone olma seçeneği (aynı zamanda bir güncelleme de alıyor), bazı Active Directory depolama ve güvenlik güncellemeleri, Hızlı UDP (QUIC) üzerinden SMB ile iletişim güvenliği güncellemeleri ve anında düzeltme yer alıyor. Anında düzeltme, anında yeniden başlatmanın etkili olması gerekmeden, bellekte çalışan sisteme gerçek zamanlı güncellemeler sağlayacaktır. Henüz piyasaya sürülme sürecinin başında, ancak en son sunucu teknolojisini test etmeyi merak ediyorsanız artık mevcut.
Apple, Google, Ivanti ve Microsoft
Apple, Google, Ivanti ve Microsoft’un ilk sıfır gün duyuruları ve bazı yazılım sürümleri sokaklara çıktı. Apple, 22 Ocak’ta tüm işletim sistemlerine yönelik güncellemeleri ve Monterey ve Ventura macOS için Safari 17.3’ü yayınladı. Bu güncellemeler, kötü amaçlarla hazırlanmış web içeriğinin rastgele kod yürütmesine olanak tanıyan CVE-2024-23222 düzeltmesini içeriyordu. Apple, bunun vahşi ortamda istismar edildiğinin bilindiğini bildirdi ancak herhangi bir ayrıntı vermedi.
Google, 16 Ocak’ta Mac için 120.0.6099.234, Linux için 120.0.6099.224 ve Windows için 120.0.6099.224/225 numaralı Stabil Kanal güncellemelerini yayınladı. Bu sürümler, CVE-2024-0519’a yönelikti; V8 motoru. Apple gibi onlar da bunun vahşi doğada istismar edildiğinin bilindiğini ancak herhangi bir ayrıntı verilmediğini bildirdiler.
Windows’un tüm sürümleri için EventLogCrasher adlı sıfır gün güvenlik açığı rapor edildi, ancak Microsoft bunun 2022’de bildirilen sorunla aynı olduğuna inanıyor. Başarılı bir saldırı, olay günlüğü hizmetini çökertebilir ve bu da sistemdeki ek etkinlikleri gizleyebilir. Microsoft, gelecekte bir güncellemenin bu sorunu çözeceğini söyledi. Her zaman olduğu gibi, sıfırıncı gün güncellemeleri zamanında uygulanmalıdır çünkü bunların istismar edildiği bilinmektedir ve saldırganların sistemlerinize ulaşması an meselesidir.
Microsoft, Windows 10 22H2, Windows 11 22H2 ve Windows 11 23H2 için aylık güvenlikle ilgili olmayan önizleme düzeltme ekini 23 Ocak’ta yayınladı. Ancak Microsoft’a göre “Şubat 2024’ten sonra Windows 11 için artık isteğe bağlı, güvenlikle ilgili olmayan önizleme sürümü yok, sürüm 22H2. Bu sürüm için yalnızca toplu aylık güvenlik güncellemeleri (“B” veya Salı Güncellemesi sürümü olarak bilinir) devam edecektir. Windows 11, sürüm 23H2 ve Windows 10, sürüm 22H2, güvenlik ve isteğe bağlı sürümleri almaya devam edecek.”
Ivanti’nin, Ivanti Connect Secure, Ivanti Policy Secure ve ZTA ağ geçitlerini etkileyen beş CVE için yamaları var. Bu güvenlik açıklarından üçü vahşi ortamda istismar edildi ve Ivanti, müşterilerini hemen yama yapmaya teşvik ediyor.
Şubat 2024 Yaması Salı tahmini
- Microsoft, bu ay tam bir yeni sürüm seti ile hız kazanmalı. Tüm işletim sistemi, Office, SharePoint ve Exchange sunucusu güncellemelerini bekleyin. Geçen ay bir .NET framework güncellemesi vardı ama önümüzdeki hafta ne olacağını bekleyip görmemiz gerekecek. Halen Server 2012 ve 2012 R2 kullananlarınız için güncellemeler ESU lisansıyla sunulacaktır.
- Son Adobe Acrobat ve Reader güvenlik güncellemesi Kasım 2023’te geldi, bu ay görürseniz şaşırmayın.
- Apple, 22 Ocak’ta çok çeşitli işletim sistemi güncellemeleri yayınladı, bu nedenle Salı Yaması’nı bu kadar yakından takip edecek başka bir güncelleme dizisinin gelmesi pek olası değil. Ocak ayı güncellemeleri makinelerinizde zaten mevcut olmalıdır.
- Google, 31 Ocak’ta Windows, Mac ve Linux için Masaüstü için Chrome Beta 122.0.6261.18’i yayınladı. Resmi güncellemenin bu haftanın sonlarında veya Salı Yaması haftasının başında yayınlanmasını bekleyin. Bu güncellemeler birikimlidir, dolayısıyla daha önce bahsedilen CVE-2024-0519 düzeltmesini içerecektir.
- Mozilla, 23 Ocak’ta Firefox 122, Firefox ESR 115.7 ve Thunderbird 115.7’yi piyasaya sürdü. Firefox güncellemesi, Yüksek olarak derecelendirilen 5 ve Orta olarak derecelendirilen 10 CVE içeriyordu. Başka bir güncelleme seti yayınlamayabilirler, bu nedenle bunları son yama döngüsüne dahil etmediyseniz, gelecek hafta yaptığınızdan emin olun.
Gelecek hafta Salı Yaması’nda yayınlanan yamaların sayısında bir artış görmeliyiz. Sıfır gün güncellemelerine dikkat edin ve onlara hak ettikleri önceliği verin. Yılın ikinci Salı Yaması üzerinde çalışmayı bitirdikten sonra, bugünün Sevgililer Günü, yani Çarşamba olduğunu unutmayın!