Microsoft, Ağustos 2023 için şirketin Patch Tuesday güncellemeleri kapsamında yazılımındaki toplam 74 hatayı düzeltti. Bu, şirketin geçen ay düzelttiği büyük sayıda 132 güvenlik açığına kıyasla daha düşüktür.
Bu güvenlik açıklarının altısının Kritik ve 67’sinin Önemli olduğu bildirildi. Teknoloji devi tarafından ayrıca Microsoft Office (ADV230003) ve Bellek Bütünlüğü Sistem Hazırlık Tarama Aracı (ADV230004) için iki savunma katmanı güncellemesi de yayımlandı.
Bu, Microsoft’un Chromium tabanlı Edge tarayıcısındaki 31 sorunun yanı sıra geçen ayın Patch Tuesday baskısından bu yana adreslenen ve AMD tarafından sunulan belirli işlemci modellerini etkileyen bir yan kanal açığı (CVE-2023-20569 veya Inception) bulunuyor.
ADV230003, zaten bilinen CVE-2023-36884 olarak izlenen bir güvenlik açığına ilişkin. Bu, Office ve Windows HTML’de uzaktan kod yürütme güvenlik açığıdır ve Rusya’yla ilişkilendirilen RomCom tehdit aktörü tarafından Ukrayna’yı hedef alan saldırılarda aktif olarak kullanıldı.
Microsoft, en son güncellemenin “saldırı zincirini durdurduğunu” ve uzaktan kod yürütme hatasına yol açan bir tehdidi engellediğini söyledi.
Bellek Bütünlüğü Sistem Hazırlık Tarama Aracı için diğer savunma katmanı güncellemesi, “orijinal sürümün bir RSRC bölümü içermeksizin yayınlandığı ve bir modül için kaynak bilgisini içeren” yaygın bilinen bir hatayı çözüyor.
Ayrıca, Microsoft tarafından Microsoft Message Queuing (MSMQ) ve Microsoft Teams’teki birçok uzaktan kod yürütme hatası ile Azure Apache Ambari, Azure Apache Hadoop, Azure Apache Hive, Azure Apache Oozie, Azure DevOps Server, Azure HDInsight Jupyter ve .NET Framework’teki bir dizi aldatmaca açığı da düzeltildi.
Üstelik, Redmond MSMQ’da altı hizmet reddetme (DoS) ve iki bilgi açıklama hatasını çözdü ve aynı hizmette keşfedilen ve uzaktan kod yürütme ve DoS ile sonuçlanabilecek bir dizi diğer sorunun takipçisi oldu.
Öne çıkan üç diğer güvenlik açığı, Exchange Server’daki uzaktan kod yürütme hataları olan CVE-2023-35388, CVE-2023-38182 (CVSS puanları: 8.0) ve CVE-2023-38185 (CVSS puanı: 8.8) – ilk ikisi “Exploitation More Likely” değerlendirmesiyle etiketlendi.
“CVE-2023-35388 ve CVE-2023-38182’nin sömürülmesi, yan yana bir saldırı vektörü ve geçerli takas kimlik bilgilerinin gerekmesi nedeniyle biraz sınırlıdır,” diyor Immersive Labs’in baş içerik mühendisi Natalie Silva.
“Bu, saldırganın iç ağınıza bağlı olması ve bu iki güvenlik açığından yararlanabilmesi için geçerli bir Exchange kullanıcısı olarak kimlik doğrulaması yapabilmesi gerektiği anlamına gelir. Bunu başaran herhangi bir kişi, PowerShell uzaktan oturumu kullanarak uzaktan kod yürütmeyi gerçekleştirebilir.”
Microsoft ayrıca, .NET ve Visual Studio’daki bir DoS güvenlik açığı için (CVE-2023-38180, CVSS puanı: 7.5) bir kanıt-of-kavram (PoC) saldırısının bulunduğunu kabul etti. Şirket, “kod veya tekniklerin her durumda işlevsel olmadığını ve yetenekli bir saldırgan tarafından önemli ölçüde değiştirilmesi gerekebileceğini” belirtti.
Son olarak, güncelleme aynı zamanda Windows Çekirdeği’nde (CVE-2023-35359, CVE-2023-35380, CVE-2023-35382, CVE-2023-35386 ve CVE-2023-38154, CVSS puanları: 7.8) beş ayrıcalık yükseltme güvenlik açığına da çözüm getiriyor. Bu güvenlik açıkları, hedef makineye yerel erişimi olan bir tehdit aktörünün SİSTEM ayrıcalıklarını kazanmasını sağlayabilir.
Diğer Üreticilerden Yazılım Düzeltmeleri#
Microsoft’un yanı sıra, son birkaç hafta içinde diğer üreticiler tarafından birkaç güvenlik açığını düzeltmek için yayınlanan güncellemeler de şunlardır:
Adobe
AMD
Android Apache Projeleri
Aruba Networks
Cisco Citrix
CODESYS
Dell Drupal
F5 Fortinet GitLab Google Chrome Hitachi Energy HP IBM Intel Ivanti Jenkins Lenovo Linux dağıtımları Debian, Oracle Linux, Red Hat, SUSE ve Ubuntu MediaTek Mitsubishi Electric Mozilla Firefox, Firefox ESR ve Thunderbird NVIDIA PaperCut Qualcomm Samba Samsung SAP Schneider Electric Siemens SolarWinds Splunk Synology Trend Micro Veritas VMware Zimbra Zoho ManageEngine Zoom ve Zyxel
