14 Haziran 2023Ravie LakshmananYama Salı / Güvenlik Açığı

Microsoft, Windows işletim sisteminde ve diğer yazılım bileşenlerinde önemli güvenlik eksikliklerini gidermek için düzeltmeler yaptı. Yama Salı güncellemeleri Haziran 2023 için.

73 kusurdan altısı Kritik, 63’ü Önemli, ikisi Orta ve biri Düşük önem derecesine sahiptir. Bu, teknoloji devinin Chromium tabanlı Edge tarayıcısında ele aldığı üç sorunu da içeriyor.

Microsoft’un da kapandığını belirtmekte fayda var 26 diğer kusur Mayıs Yaması Salı güncellemelerinin yayınlanmasından bu yana Edge’de – tümü Chromium’un kendisinde kök salmıştır. Bu, Google’ın geçen hafta aktif olarak istismar edildiğini açıkladığı sıfır günlük bir hata olan CVE-2023-3079’u içeriyor.

Haziran 2023 güncelleştirmeleri ayrıca, birkaç aydır ilk kez, Microsoft ürünlerinde genel olarak bilinen veya piyasaya sürüldüğü sırada etkin saldırı altında olan sıfır gün kusuru içermeyen ilk kez işaret ediyor.

Düzeltmeler listesinin başında CVE-2023-29357 (CVSS puanı: 9.8), SharePoint Server’da yönetici ayrıcalıkları elde etmek için bir saldırgan tarafından kullanılabilen bir ayrıcalık yükseltme kusuru.

Microsoft, “Sahte JWT kimlik doğrulama belirteçlerine erişim elde eden bir saldırgan, bunları, kimlik doğrulamayı atlayan ve kimliği doğrulanmış bir kullanıcının ayrıcalıklarına erişmelerine izin veren bir ağ saldırısı gerçekleştirmek için kullanabilir” dedi. “Saldırganın herhangi bir ayrıcalığa ihtiyacı olmadığı gibi kullanıcının herhangi bir işlem yapmasına da gerek yoktur.”

Ayrıca Redmond tarafından yamalanan üç kritik uzaktan kod yürütme hatası (CVE-2023-29363, CVE-2023-32014Ve CVE-2023-32015CVSS puanları: 9.8) Windows Pragmatic General Multicast (PGM) “uzaktan kod yürütmeyi başarmak ve kötü amaçlı kodu tetiklemeye çalışmak” için silah haline getirilebilir.

Microsoft daha önce aynı bileşendeki benzer bir kusuru gidermişti (CVE-2023-28250CVSS puanı: 9.8), Nisan 2023’te birden çok ağ üyesi arasında paketleri güvenilir bir şekilde iletmek için tasarlanmış bir protokol.

YAKLAŞAN WEBİNAR

🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

Ayrıca teknoloji devi tarafından çözülen, Exchange Server’ı etkileyen iki uzaktan kod yürütme hatasıdır (CVE-2023-28310 Ve CVE-2023-32031), kimliği doğrulanmış bir saldırganın etkilenen kurulumlarda uzaktan kod yürütmesine izin verebilir.

Diğer Satıcılardan Yazılım Yamaları

Microsoft’a ek olarak, son birkaç hafta içinde çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından da güvenlik güncelleştirmeleri yayınlandı:



siber-2