Microsoft’un Yama Salı güncellemesi Mart ayı için, Windows, Office, Exchange ve Defender gibi yazılım ürünlerine yayılan 71 düzeltme ile resmi olarak kullanıma sunuldu.
Toplam 71 yamadan üçü Kritik ve 68’i önem açısından Önemli olarak derecelendirilmiştir. Güvenlik açıklarından hiçbiri aktif olarak yararlanılmış olarak listelenmese de, üçü yayın sırasında herkes tarafından biliniyor.
Microsoft’un ayrı ayrı olduğunu belirtmekte fayda var. 21 kusuru ele aldı Bu ayın başlarında Chromium tabanlı Microsoft Edge tarayıcısında.
Bu ay giderilen üç kritik güvenlik açığının tümü, HEVC Video Uzantılarını etkileyen uzaktan kod yürütme kusurlarıdır (CVE-2022-22006), Microsoft Exchange Sunucusu (CVE-2022-23277) ve VP9 Video Uzantıları (CVE-2022-24501).
Araştırmacı Markus Wulftange tarafından raporlanan Microsoft Exchange Server güvenlik açığı, sunucudan yararlanabilmek için saldırganın kimliğinin doğrulanmasını gerektirmesiyle de dikkat çekiyor.
Windows üreticisi, “Bu güvenlik açığının saldırganı, rastgele veya uzaktan kod yürütmede sunucu hesaplarını hedefleyebilir” dedi. “Kimliği doğrulanmış bir kullanıcı olarak, saldırgan, bir ağ çağrısı yoluyla sunucu hesabı bağlamında kötü amaçlı kodu tetiklemeye çalışabilir.”
Immersive Labs siber tehdit araştırması direktörü Kevin Breen, “Kritik güvenlik açığı CVE-2022-23277 de bir endişe kaynağı olmalıdır” dedi. “Kimlik doğrulaması gerektirse de, şirket içi Exchange sunucularını etkileyen bu güvenlik açığı, iş e-postası güvenliği veya e-postadan veri hırsızlığı fırsatı sunan ortamın bir bölümüne yanal hareket sırasında potansiyel olarak kullanılabilir.”
Microsoft tarafından düzeltilen üç sıfır gün hatası aşağıdaki gibidir:
- CVE-2022-24512 (CVSS puanı: 6.3) – .NET ve Visual Studio Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2022-21990 (CVSS puanı: 8.8) – Uzak Masaüstü İstemcisinde Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2022-24459 (CVSS puanı: 7.8) – Windows Faks ve Tarama Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft ayrıca, bir kavram kanıtı (PoC) açığının herkese açık olması nedeniyle CVE-2022-21990’ı “İstismar Daha Muhtemel” olarak etiketleyerek, olası saldırılardan kaçınmak için güncellemelerin mümkün olan en kısa sürede uygulanmasını çok önemli hale getirdi.
Diğer önemli kusurlar, Windows SMBv3 İstemci/Sunucu, Microsoft Office ve Paint 3D’deki bir dizi uzaktan kod yürütme kusurunun yanı sıra Xbox Live Auth Manager, IoT için Microsoft Defender ve Azure Site Recovery’deki ayrıcalık yükseltme kusurlarıdır.
Toplamda, yamalar 29 uzaktan kod yürütme güvenlik açığını, 25 ayrıcalık yükselmesi güvenlik açığını, altı bilginin açığa çıkması güvenlik açığını, dört hizmet reddi güvenlik açığını, üç güvenlik özelliği atlama güvenlik açığını, üç sahtecilik güvenlik açığını ve bir kurcalama güvenlik açığını kapatır.
Diğer Satıcılardan Yazılım Yamaları
Microsoft’a ek olarak, çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından güvenlik güncelleştirmeleri de yayımlanmıştır:
