Mart Salı Yaması için sıfır gün kusuru yok

Microsoft bu hafta, daha geniş ekosistemi (Windows, Office, .NET) etkileyen kamuya açıklanma veya diğer sıfır gün raporları olmadan 61 Salı Yaması güncellemesini yayınladı. Şubat ayından itibaren güncellenen üç paket olmasına rağmen, bunlar yalnızca bilgilendirme amaçlı değişikliklerdir ve başka bir işlem yapılmasına gerek yoktur.

Ekip şu adreste: Hazırlık bunu hazırladı faydalı infografik Mart güncellemelerinin her biriyle ilişkili risklerin ana hatlarıyla anlatılıyor.

Bilinen Sorunlar

Microsoft her ay, en son güncelleme döngüsüne dahil edilen işletim sistemi ve platformlarla ilgili bilinen sorunların bir listesini yayınlar; Mart ayı için bildirilen iki küçük sorun var:

• Birden fazla monitör kullanan Windows aygıtları, masaüstü simgelerinin monitörler arasında beklenmedik şekilde hareket etmesiyle ilgili sorunlarla karşılaşabilir veya Windows’ta Copilot’u kullanmaya çalışırken başka simge hizalama sorunlarıyla karşılaşabilir. Microsoft hala sorun üzerinde çalışıyor.
• Microsoft, Exchange Server için bir danışma notu yayımladı: En son güvenlik güncelleştirmesini yükledikten sonra artık Oracle OutsideIn Teknolojisi (OIT) veya OutsideInModule desteği sağlanmayacaktır. Daha fazla bilgi için bakınız bu hizmet güncellemesi.

Şubat, Microsoft’un güncellemeleri ve revizyonları iletme şekli açısından pek iyi bir ay değildi. Mart ayı, masaüstü ve sunucu platformları için bildirilen “bilinen sorunlar” açısından son derece hafif bir ay olduğundan, ekibimiz herhangi bir belge sorunu bulamadı. İyi iş Microsoft’a!

Büyük revizyonlar

Bu ay Microsoft, geçmiş güvenlik ve özellik güncellemelerinde aşağıdaki önemli revizyonları yayınladı:

• CVE-2024-2173, CVE-2024-2174Ve CVE-2024-2176: Chromium: CVE-2024-2173 V8’de sınırların dışında belleğe erişim. Bu güncellemeler, Microsoft’taki Chromium tarayıcı projesine yönelik en son güvenlik yamalarıyla ilgilidir. Daha fazla aksiyona gerek yok.

Azaltmalar ve geçici çözümler

Microsoft, bu ayın yayın döngüsü için güvenlik açığıyla ilgili şu azaltıcı önlemleri yayımladı:

• CVE-2023-28746 Dosya Veri Örneklemesini (RFDS) kaydedin. Belirli Intel yonga setlerindeki bir donanım sorunuyla ilgili olduğundan, Intel’den gelen bu güncellemeyi nasıl kategorize edeceğimizden emin değiliz. Bu güvenlik açığının azaltılması, bir ürün yazılımı güncellemesi gerektirir ve buna karşılık gelen bir Windows güncellemesi, bu üçüncü taraf ürün yazılımı tabanlı azaltmayı etkinleştirir. Daha fazla bilgi burada bulunabilir.

Her ay, Hazırlık ekibi en son Salı Yaması güncellemelerini analiz eder ve ayrıntılı, uygulanabilir test rehberliği sağlar. Bu kılavuz, geniş bir uygulama portföyünün değerlendirilmesine ve yamaların ayrıntılı bir analizine ve bunların Windows platformları ve uygulama kurulumları üzerindeki potansiyel etkilerine dayanmaktadır.

Bu Mart döngüsü için kritik güncellemeleri ve gerekli test çalışmalarını aşağıdakiler de dahil olmak üzere farklı işlevsel alanlarda gruplandırdık:

Microsoft Office

• Daha büyük çizimler için Visio’nun test edilmesi gerekecektir. (CAD çizimleri iyi adaylardır.)
• Microsoft SharePoint, 1 GB’tan büyük dosyaların yüklenmesi için test yapılmasını gerektirecektir.
• Excel’in, OLE gömülü nesnelerinin ve tüm bağlantılı veri sayfası makrolarının test edilmesine ihtiyacı olacaktır.

Microsoft .NET ve Geliştirici Araçları

• PowerShell: Get-StorageDiagnosticInfo güncellendi, bu nedenle DACL (İsteğe Bağlı Erişim Kontrol Listesi) doğru “sonuç” ayarları için (örn. doğru sahibi vardır).

pencereler

Aşağıdaki temel Microsoft özellikleri güncelleştirildi:

• SQL OLE ve ODBC: Bu güncellemeler, veritabanı (DB) bağlantılarının ve SQL komutlarının tam bir test döngüsünü gerektirecektir. Temel SQL komutlarını çalıştırmanızı ve farklı SQL sunucularını denemenizi öneririz.
• Hyper-V: Sanal makinelerin (VM’ler) başlatıldığını, kapatıldığını, duraklatıldığını, devam ettirildiğini ve ardından makineyi kapattığını test edin.
• Yazdırma: Her İkisi Versiyon 4 (V4) Ve V3 yazıcı bağlantıları temel test gerektirecektir
• Telefon ve FAKS: Microsoft TAPI API’ler güncellendi, bu nedenle FAXPress sunucularınızı test etmeyi unutmayın
• USB Sürücüleri: “Tak, USB’ye ve USB’ye kopyala ve çıkar” döngüsüyle USB aygıtlarının temel bir testi gerekli olacaktır.
• Sıkıştırılmış dosyalar: Küçük bir güncelleme, .7z, far, tar, tar.gz dosyalarının temel testini gerektirecektir.

Bu ay Windows dosya sisteminde yapılan en önemli güncellemelerden biri, dosya sistemindeki değişikliktir. NTFS kompozit görüntü dosyalarını yönetir; Microsoft bunları “bir veya daha fazla veri ve meta veri bölge dosyası, bir veya daha fazla nesne kimliği dosyası ve bir veya daha fazla dosya sistemi açıklama dosyası içeren düz dosyalardan oluşan küçük bir koleksiyon” olarak tanımlıyor. “Düzlüklerinin” bir sonucu olarak CIM’ler içerdikleri eşdeğer ham dizinlerden daha hızlı oluşturulur, çıkarılır ve silinir.”

Bu güncellemeye yönelik temel testler CIM nesnelerinin oluşturulmasını, bağlanmasını ve göz atılmasını içermelidir.

Otomatik test, bu senaryolarda yardımcı olacaktır (özellikle “delta” veya yapılar arasında karşılaştırma sunan bir test platformu). Ancak iş kolu uygulamaları için uygulama sahibini almak (yapmak) UAT) sonuçları test etmek ve onaylamak hala kesinlikle gereklidir.

Bu ay Microsoft, uygulama portföyünüzün önemli bir bölümünü test etme önerisiyle Win32 ve GDI alt sistemlerinde büyük (genel) bir güncelleme yaptı.

Windows yaşam döngüsü güncellemesi

Bu bölüm, Windows masaüstü ve sunucu platformlarına yönelik hizmetlerde (ve çoğu güvenlik güncelleştirmesinde) önemli değişiklikleri içerecektir.

• Windows 10 21H2, 3 ay içinde (Haziran 2024) aktif desteğini kaybedecek.
• Microsoft .NET Sürüm 7 desteği 2 ay içinde (Mayıs 2024) sona erecektir.

Her ay, güncelleme döngüsünü aşağıdaki temel gruplamalarla ürün ailelerine (Microsoft tarafından tanımlandığı şekilde) ayırıyoruz:

• Tarayıcılar (Microsoft IE ve Edge);
• Microsoft Windows (hem masaüstü hem de sunucu);
• Microsoft Office;
• Microsoft Exchange Sunucusu;
• Microsoft Geliştirme platformları (NET Core, .NET Core ve Chakra Core);
• Adobe (eğer bu kadar ileri giderseniz).

Tarayıcılar

Microsoft, bu ay Chromium tabanlı tarayıcı (Edge) projesine yönelik üç küçük güncelleme yayınladı (CVE-2024-1283, CVE-2024-1284 Ve CVE-2024-1059) aşağıdaki bildirilen güvenlik açıklarıyla birlikte:

• CVE-2024-1060 : Krom: CVE-2024-1060 Kanvas’ta ücretsiz olarak kullanın.
• CVE-2024-1077 : Chromium: CVE-2024-1077 Ağda ücretsiz olarak kullanın.
• CVE-2024-21399 : Microsoft Edge (Chromium tabanlı) Uzaktan Kod Yürütme Güvenlik Açığı.

Bu standart sürümlere ek olarak Microsoft, aylık tarayıcı güncellemesiyle şu “geç” eklemeleri de yayınladı:

• CVE-2024-26163 : Microsoft Edge (Chromium tabanlı) Güvenlik Özelliği Güvenlik Açığı Atlama
• CVE-2024-26167: Android Kimlik Sahtekarlığı Güvenlik Açığı için Microsoft Edge
• CVE-2024-26246: Microsoft Edge (Chromium tabanlı) Güvenlik Özelliği Güvenlik Açığı Atlama

Tüm bu güncellemelerin, Chromium’la entegre olan ve üzerinde çalışan uygulamalar üzerinde ihmal edilebilir bir etkisi olacaktır. Bu güncellemeleri standart yama yayınlama planınıza ekleyin.

pencereler

Şubat ayında Microsoft (başka) iki kritik güncelleme yayınladı (CVE-2024-21407 Ve CVE-2024-21408) ve aşağıdaki temel bileşenleri kapsayan, Windows platformu için önemli olarak derecelendirilen 39 yama:

• Windows SQL ve OLE DB Sağlayıcısı
• Windows Hyper-V
• Windows Çekirdeği

Bu ay, kamuya açıklanmış herhangi bir güvenlik açığı veya istismar raporu görmüyoruz ve eğer modern bir Windows 10/11 kullanıyorsanız, bildirilen tüm bu güvenlik açıklarından yararlanmak zordur. Lütfen bu güncelleştirmeyi standart Windows sürüm planınıza ekleyin.

Microsoft Office

Son zamanlardaki bir trendin ardından Microsoft, Mart ayı için Microsoft Office platformuna yalnızca üç güncelleme yayınladı (CVE-2024-21448, CVE-2024-21426 Ve CVE-2024-26199). Her üç yamanın da yararlanılabilirlik potansiyeli düşüktür ve normal Office güncelleme programınıza eklenmelidir.

Microsoft Exchange Sunucusu

Microsoft, Exchange Server için (yine) tek bir güncelleme yayınladı. CVE-2024-26198. Bu güncelleme yalnızca Exchange Server 2016 ve 2019’u etkiler; Microsoft, güvenlik açığını “özel hazırlanmış bir dosyanın çevrimiçi dizine veya yerel ağ konumuna yerleştirilmesini gerektiren bir saldırı” olarak tanımlıyor. Bir kurban bu dosyayı çalıştırdığında kötü amaçlı DLL’yi yükler.”

Microsoft bu güncellemeyi önemli olarak değerlendiriyor ve kamuya açıklandığı veya kötüye kullanıldığına dair herhangi bir rapor bulunmuyor. Bunu düzenli sunucu güncelleme programınıza ekleyin. Exchange Server yöneticileri için, güncellenen her sunucunun yeniden başlatılması gerekeceğine inanıyoruz.

Microsoft geliştirme platformları

Microsoft üç güncelleme yayınladı (CVE-2024-26190, CVE-2024-26165 Ve CVE-2024-21392 .NET (Sürüm 7 ve 8) ve Microsoft Visual Studio 2022’ye. Üç güncelleştirmenin tümü düşük etkilidir ve geliştiricinin düzenli yama yayınlama çalışmalarına dahil edilebilir.

Adobe Reader (eğer bu kadar ileri giderseniz)

Bu ay Adobe güncellemesi yok. Intel ürün yazılımı güncellemesi dışında (CVE-2023-28746), bu ayın güncelleme planına ekleyebileceğimiz herhangi bir üçüncü taraf tedarikçimiz/ISV’miz yok.