Adobe, Eylül 2024’te çeşitli ürünlerdeki 28 güvenlik açığını gideren sekiz güvenlik güncellemesi yayınlarken, ColdFusion, CVSS 9.8 olarak derecelendirilen bir kod yürütme hatasını hafifletmek için kritik bir yama aldı.
Photoshop, Illustrator, Premier Pro, After Effects, Audition ve Media Encoder’da da kritik güvenlik açıkları bulundu.
Adobe, kritik yapıları ve suistimal potansiyelleri nedeniyle bu güncellemelerin dağıtımına öncelik veriyor.
Microsoft, bu ay çeşitli Windows ve Microsoft ürünleri için 79 yeni güvenlik yaması yayınlarken, yedi güvenlik açığı kritik, 71’i önemli ve biri de orta düzeyde olarak sınıflandırıldı.
Decoding Compliance: What CISOs Need to Know – Join Free Webinar
Bu ayki sürüm hacmi bir önceki aya benzer, ancak bu hataların birçoğunun aktif olarak istismar edildiği dikkat çekiyor.
Windows 10 sistemlerinde kritik bir uzaktan kod yürütme açığı keşfedildi.
CVE-2024-43491 numaralı bu güvenlik açığı, saldırganların isteğe bağlı bileşenleri düşürmesine ve potansiyel olarak kötü amaçlı kod yürütmesine olanak tanıyan Servicing Stack’teki bir kusurdan kaynaklanmaktadır.
Şu anda yaygın olarak kullanılmasa da, sistemlerin hem servis yığını güncellemesi (KB5043936) hem de güvenlik güncellemesi (KB5043083) dahil olmak üzere en son güvenlik yamalarıyla güncel tutulmasının önemini vurgulamaktadır.
Son güvenlik güncelleştirmeleri Microsoft Publisher ve Windows’taki güvenlik açıklarını gideriyor.
Bir saldırgan, makro politikalarını atlatan ve kod yürütülmesine olanak tanıyan özel olarak hazırlanmış bir Publisher dosyasını açması için bir kullanıcıyı kandırarak CVE-2024-38226 numaralı açığı kullanabilir.
CVE-2024-38217, kripto para yatırımcılarını hedef alan fidye yazılımı çeteleri tarafından istismar edilebilecek bir MoTW atlama güvenlik açığını içeriyor.
Saldırılara ilişkin ayrıntılı bilgi verilmezken, bu güvenlik açıklarının kullanıcılar ve kuruluşlar için önemli riskler oluşturduğu açık.
CVE-2024-38014, saldırganların tespit edilmeden ayrıcalıklarını SİSTEM’e yükseltmelerine olanak tanıyan Windows Installer’daki bir güvenlik açığından yararlanır.
CVE-2024-43461, kod yürütme için kullanılabilen MSHTML platformundaki bir sahtecilik güvenlik açığıdır.
Her iki güvenlik açığı da halihazırda aktif olarak istismar ediliyor ve yamaların en kısa sürede uygulanması öneriliyor.
Microsoft, SharePoint, Azure Stack Hub, TCP/IP, Uzak Masaüstü Lisanslama Hizmeti, SQL Server Yerel Puanlama, Azure CycleCloud ve Power Automate Desktop dahil olmak üzere çeşitli ürünlerdeki güvenlik açıklarını gideren bir dizi kritik yama yayınladı.
ZDI’ye göre bu güvenlik açıkları kod yürütmeye, ayrıcalık yükseltmeye ve diğer güvenlik ihlallerine yol açabilir. Kuruluşların bu güvenlik açıklarıyla ilişkili riskleri azaltmak için bu yamaları derhal uygulamaları şiddetle tavsiye edilir.
Eylül güncellemesi, çoğu SYSTEM düzeyinde kod yürütme veya yönetici ayrıcalıklarına yol açan 30 Ayrıcalık Yükseltme (EoP) hatasını ele alıyor. Her ikisi de web taramayla ilgili olan iki Güvenlik Özelliği Baypas (SFB) hatası da düzeltildi.
Ayrıca, bazıları hassas verileri ifşa edebilecek nitelikte olan 11 bilgi ifşa hatası da düzeltildi.
Sahtecilik ve hizmet reddi (DoS) güvenlik açıkları da farklı etki seviyeleriyle ele alınıyor; Hyper-V’deki DoS, konuk işletim sisteminin ana işletim sistemini etkilemesine olanak tanıyabiliyor.
Simulating Cyberattack Scenarios With All-in-One Cybersecurity Platform – Watch Free Webinar