Mozilla Vakfı, güvenlik danışma belgesi 2023-15’te çeşitli güvenlik açıkları için yamalar yayınladı. En son Mozilla güvenlik açığı güncellemesi, Thunderbird 102.10’daki yüksek ve orta ile düşük önem dereceleri arasında değişen güvenlik açıklarını kapsıyordu.
Mozilla güvenlik açığı güncellemesine göre CVE-2023-29550, CVE-2023-0547 ve CVE-2023-29536 gibi yüksek puanlı olanlar da dahil olmak üzere 21 hata düzeltildi.
Siber güvenlik şirketi Tenable’ın en son Mozilla güvenlik açığı güncellemesine ilişkin bir değerlendirme raporu, “Bu hatalardan bazıları bellek bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunlardan bazılarının keyfi kod çalıştırmak için kullanıldığını varsayıyoruz” dedi.
Mozilla Thunderbird, açık kaynaklı bir çapraz platform üzerinde çalışır. Kullanıcıların, platformda bulunan çeşitli seçenekleri kullanarak kişisel bilgilerini yönetmelerine olanak tanıyan ücretsiz e-posta hizmetleri sunar.
Mozilla güvenlik açığı güncellemesi: Hataların ayrıntıları
- CVE-2023-29531, bilgisayar korsanlarının WebGL API’leri aracılığıyla erişmesine izin verebilecek, yüksek öneme sahip, sınır dışı bir bellek erişimi güvenlik açığıydı. Bu güvenlik açığının yalnızca macOS’u etkilediği bulundu.
- CVE-2023-29532, yüksek önem dereceli bir güvenlik açığı, Mozilla Bakım Hizmeti’nden kaçılmasına ve kullanıcıları kötü amaçlı bir SMB sunucusuna yönlendirerek imzasız bir güncellemenin uygulanmasına izin verdi. Bu kusur yalnızca Windows’u etkiledi.
- CVE-2023-29533, yanlış kullanılarak tam ekran bildiriminin kapatılmasına izin verirdi. açık istekler, pencere.adı ödevler ve setInterval çağrılar. Bu yüksek öneme sahip güvenlik açığından yararlanılarak sahtekarlık saldırıları da mümkündü.
- Çift serbest libwebp güvenlik açığı MFSA-TMP-2023-0001, rastgele kodların çalıştırılmasına ve belleğin bozulmasına izin vermiş olabilir. Önem derecesi yüksek bir güvenlik açığıydı.
Mozilla güvenlik açığı güncellemesi, yukarıda belirtilen güvenlik açıklarının yanı sıra CVE-2023-29536, CVE-2023-0547, CVE-2023-29479, CVE-2023-29539 vb. konuları da ele aldı. Bu açıklar, siber suçluların Thunderbird kullanıcı arayüzüne erişmesine izin verdi , bellek yöneticisinin saldırgan tarafından kontrol edilen belleği algılamayı atlamasını ve iptal edilen sertifikaları kabul etmesini sağladı.
Güvenlik açıkları ve güvenlik güncellemeleriyle ilgili açıklamalar
Raporlara göre 2022 yılında Ulusal Güvenlik Açığı Veritabanına toplam 206059 güvenlik açığı eklendi.
Bilgisayar korsanları, fidye yazılımı başlatmak, sistemlere ilk erişim elde etmek ve yetkisiz erişimle cihazdan yararlanmak için her zaman yazılımdaki kusurları ararlar.
2021’de tüm siber saldırıların yaklaşık %18’i güvenlik açıklarından yararlanılarak başlatıldı. Bu nedenle, son kullanıcılar olarak yazılım güncellemeye odaklanmak zorunludur.
Şirketlerin %84’ünün, güncellemeleri kullanıma sunmasına rağmen yama uygulanmayan yüksek riskli güvenlik açıkları topladığı tespit edildi. Bir Veracode raporu, şirketlerin %80’inin ilk taramanın ilk 1,5 yılında yeni güvenlik açıklarını ele almayı kaçırdığını vurguladı.
Kuruluşların ayrıca böcek avına da aynı derecede dikkat etmesi gerekir çünkü bir kusur, ağlardaki tüm çalışanların sistemlerine erişim sağlayabilir. Yazılım güncellemeleri ve kurulumu bir düğmeye dokunmak kadar kolay olduğu için, bu düzenli olarak özenle yapılmalıdır.
Uygulamaların %70’inin lansmanının ilk beş yılında en az bir güvenlik açığı olduğu tespit edildi. Yazılım güncellemesindeki ihmal, finansal kuruluşlara ağır zararlar verebilir, çünkü ödeme ile ilgili uygulamalarda kritik güvenlik açıklarının olasılığı %8’e çıkar.
Güvenlik açıkları, güvenlik güncellemeleri ve yama uygulama aciliyeti
The Cyber Express’in Ocak ayında bulduğuna göre, yama uygulama ve güvenlik açığı yönetimi söz konusu olduğunda kuruluşlar rahat olma eğilimindedir.
Aralık 2022’de yayınlanan CVE-2022-37958’deki Microsoft uyarısını ele alalım. Uyarı, Eylül 2022’de yamalanan hatanın hala sorunlu olduğunu açıkça belirtiyor.
The Cyber Express’in kayıtlı okuyucuları arasında yaptığı bir anket, birçok kişinin hatadan habersiz olduğunu ortaya çıkardı.
Çeşitli sektörlerden ve bölgelerden 32 CISO lideri arasında yapılan ankete göre, Aralık ayında uyarı aldıktan sonra bunların yalnızca %17’sinin sistemlerini yamalamak için harekete geçtiği tespit edildi. Şaşırtıcı bir şekilde, bu liderlerin %43’ü sistemlerinin tam olarak güncellenmesini henüz sağlamadı.
İlginç bir şekilde, ankete katılanlardan bazıları, yamanın aciliyetini sorgulayarak, sistem güvenliğinin önemi konusunda endişe duymadıklarını ima etti.
Adaptiva Küresel Satış Öncesi ve Çözüm Mühendisliği Kıdemli Başkan Yardımcısı Dan Richings, şirketlerde zayıf yama yönetimine yol açan birkaç zorluk belirledi.
Bunlar arasında sürekli yama akışları olan ezici çalışanlar, güncellemelere öncelik vermede zorluklar, uzaktan çalışma komplikasyonları, BT ekipleri arasında iletişim eksikliği, güncelliğini yitirmiş değişiklik yönetimi süreçleri, kusurlu yamalar ve manuel yama oluşturma süreçleri yer alır.