Teknoloji devleri Apple, Microsoft ve Google’ın her biri Nisan ayında, birçoğu gerçek hayattaki saldırılarda kullanılmış olan önemli güvenlik açıklarını düzeltti. Yama yayınlayan diğer firmalar arasında gizlilik odaklı tarayıcı Firefox ve kurumsal yazılım sağlayıcıları SolarWinds ve Oracle yer alıyor.
Nisan ayında yayınlanan yamalar hakkında bilmeniz gereken her şey burada.
Apple
Apple, iOS 16.4’ün hemen ardından, halihazırda saldırılarda kullanılan iki güvenlik açığını gidermek için iOS 16.4.1 güncellemesini yayınladı. Apple’ın destek sayfasında belirttiğine göre CVE-2023-28206, IOSurfaceAccelerator’da bulunan ve bir uygulamanın çekirdek ayrıcalıklarıyla kod çalıştırabilmesine neden olabilecek bir sorundur.
CVE-2023-28205 ise Safari tarayıcısına güç veren WebKit motorunda rastgele kod yürütülmesine yol açabilecek bir sorundur. Her iki durumda da iPhone üreticisi, “Apple, bu sorunun aktif olarak istismar edilmiş olabileceğine dair bir raporun farkındadır” diyor.
Microsoft
Nisan ayında acil durum yamaları yayınlayan tek büyük teknoloji firması Apple değildi. Microsoft da bu ay Salı Yaması güncellemesinin bir parçası olarak acil bir düzeltme yayınladı. CVE-2023-28252, Windows Ortak Günlük Dosya Sistemi Sürücüsündeki bir ayrıcalık yükseltme hatasıdır. Microsoft’un bir danışmanlık belgesinde belirttiğine göre, bu hatadan başarıyla yararlanan bir saldırgan sistem ayrıcalıkları elde edebilir.
Bir diğer önemli kusur olan CVE-2023-21554, Microsoft Message Queuing’de kritik bir etkiye sahip olarak etiketlenmiş bir uzaktan kod yürütme güvenlik açığıdır. Microsoft, güvenlik açığından yararlanmak için bir saldırganın bir MSMQ sunucusuna kötü amaçlı bir MSMQ paketi göndermesi gerektiğini ve bunun sunucu tarafında uzaktan kod yürütülmesine neden olabileceğini söyledi.
Google Android
Google, Android işletim sistemi için birkaç ciddi açığı düzelten birden fazla yama yayınladı. Google’ın Android Güvenlik Bülteni’nde belirttiğine göre en ciddi hata, sistem bileşeninde bulunan ve ek yürütme ayrıcalıklarına gerek kalmadan uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığıdır. Açıktan yararlanmak için kullanıcı etkileşimi gerekmiyor.
Yamanlanan sorunlar, sekiz ayrıcalık yükseltme kusuru da dahil olmak üzere çerçevede 10 ve yüksek önem derecesine sahip olarak derecelendirilen diğer dokuz sorunu içermektedir. Google, iki kritik RCE açığı ile çekirdek ve SoC bileşenlerindeki çeşitli sorunlar da dahil olmak üzere sistemdeki 16 hatayı düzeltti.
Google Chrome
Nisan ayının başında Google, popüler Chrome tarayıcısındaki bazıları ciddi olan 16 sorunu düzeltmek için bir yama yayınladı. Yamanan hatalar arasında Visuals’da yüksek etkiye sahip olarak değerlendirilen bir yığın arabellek taşması sorunu olan CVE-2023-1810 ve Frames’de bir use-after-free güvenlik açığı olan CVE-2023-1811 yer alıyor. Geriye kalan 14 güvenlik hatası ise orta ya da düşük etkiye sahip olarak derecelendirilmiştir.
Ay ortasında Google, bu kez biri gerçek hayattaki saldırılarda kullanılan iki açığı gidermek için acil bir güncelleme yayınlamak zorunda kaldı. CVE-2023-2033, V8 JavaScript motorundaki bir tür karışıklık hatasıdır.
Birkaç gün sonra Google, Skia grafik motorundaki bir tamsayı taşması hatası olan CVE-2023-2136 olarak izlenen başka bir zero-day açığı da dahil olmak üzere sorunları düzelten başka bir yama yayınladı.
Kaynak: wired