Microsoft, iki sıfır gün de dahil olmak üzere kritik sorunları ele alan yazılımlar için 100’den fazla güvenlik yaması yayımladı.
onun son Salı yamaGenellikle her ayın ikinci Salı günü yayınlanan bir yama döngüsü olan Microsoft, uzaktan kod yürütmeye (RCE), ayrıcalıkların yükselmesine (EoP), hizmet reddine, bilgi sızıntılarına ve kimlik hırsızlığına yol açabilecek çok sayıda güvenlik açığını önemli ölçüde düzeltmiştir. Toplam 10 güvenlik açığı kritik olarak sınıflandırılır.
Nisan güvenlik güncellemesinden etkilenen ürünler Windows işletim sistemi, Microsoft Office, Dynamics, Edge, Hyper-V, Dosya Sunucusu, Skype Kurumsal ve Windows SMB’dir.
İki sıfır gün kusuru düzeltildi
Bu güncellemede düzeltilen sıfırıncı gün güvenlik açıkları aşağıdaki gibidir:
- CVE-2022-26904: Bu “sıfır gün” kusuru, Windows kullanıcı profili hizmetini etkiler ve ayrıcalıkların yükselmesine neden olabilir. CVSS önem puanı 7.0’dır, ancak saldırı karmaşıklığı “yüksek” olarak tanımlanır çünkü Microsoft, “başarılı bir saldırı, saldırganın kontrolü dışındaki koşullara bağlıdır” diye açıklıyor.
- CVE-2022-24521: Bu güvenlik açığı ayrıca ayrıcalık yükselmesine neden olabilir, ancak bu sefer Windows Ortak Günlük Dosya Sistemi sürücüsündedir. CVSS puanı 7,8 olan Microsoft, saldırının karmaşıklığının düşük olduğunu ve şu ana kadar kamuya açıklanmamasına rağmen kusurdan aktif olarak yararlanıldığını söylüyor.
Diğer iki güvenlik sorunu, CVE-2022-26809 ve CVE-2022-24491, ayrıca belirtmekte fayda var. Uzaktan Yordam Çağrısı Çalışma Zamanını ve Windows Ağ Dosya Sistemini etkileyen bu güvenlik açıklarının CVSS puanı 9,8’dir ve uzaktan kod yürütmeyi tetiklemek için kullanılabilir.
Windows Autopatch bekleniyor
Buna göre Sıfır Gün Girişimi (ZDI), yama ses seviyesi 2021’in ilk çeyreğine benzer.
Geçen ay Microsoft, CVE-2022-22006 ve CVE-2022-24501 kritik kusurları için düzeltmeler içeren Mart Salı Yaması’nda 71 güvenlik açığını yamaladı. Şubat ayında Microsoft, bir sıfır gün de dahil olmak üzere 48 güvenlik açığını yamaladı.
Bir hatırlatma olarak, Micorosft kısa süre önce bildiğimiz gibi Salı Yaması’nın sonunu heceleyebilecek yaklaşan bir değişikliği duyurdu. Windows Autopatch olarak adlandırılan otomatik Windows ve Office yazılım güncelleme hizmeti, planlanmamış acil durum yayınları dışında, aylık bir güncelleme beklemek yerine güvenlik yamalarına daha hızlı erişim sağlamak için kurumsal müşterilere sunulacak. Windows Autopatch’in Temmuz 2022’de yayınlanması planlanıyor.
Kaynak : ZDNet.com