Etiket arşivi: kritik zafiyetler

Teknik, Zafiyet

Microsoft birçok kritik zafiyeti giderdi: 4’ü aktif olarak istismar ediliyor

Yorum yapın

Microsoft ürünlerindeki 117 zafiyeti giderdi: 4'ü aktif olarak istismar ediliyorMicrosoft, Temmuz ayı için 13’ü kritik 117 zafiyeti gideren güncellemeler yayımladı. 0-Zafiyetlerin dördü aktif olarak istismar ediliyordu.

Firmanın yayımladığı Temmuz güncellemeleriyle giderdiği zafiyetler içerisinde 13’ü kritik olan 117 güvenlik zafiyeti ve dördü aktif olarak istismar edilen dokuz 0-day bulunuyor.

Microsoft’un yayımladığı Temmuz güncellemeleriyle birlikte giderdiği birçok zafiyet bulunuyor. Microsoft’un birçok ürün ve sürümünde bulunan 117 güvenlik zafiyetinden 103’ü ‘önemli’ olarak seviyelendirilirken 13’ü kritik, biri ise orta dereceli olarak seviyelendirildi.

Temmuz güncellemeleriyle birlikte dokuz 0-day’in giderildiği belirtilirken söz konusu 0-day’lerin içerisinden dördünün aktif olarak istismar edildiği belirtildi.

Aktif olarak istismar edilen CVE-2021-33771 ve CVE-2021-31979 kodlu 0-day’ler Windows Kernel Ayrıcalık Yükseltme Zafiyetleri olarak nitelendirilirken, CVE-2021-34448 kodlu 0-day ise Scripting Engine Bellek Bozulması Zafiyeti olarak nitelendirildi.

Windows Print Spooler’da ortaya çıkan PrintNightmare de aktif olarak istismar edilen 0-day’ler arasında kendisine yer bulurken geçtiğimiz günlerde Microsoft, PrintNightmare için güvenlik güncellemesi yayımlamıştı.

Microsoft’un çeşitli ürün ve sürümlerinde giderilen 117 güvenlik zafiyetinden 44’ü RCE’ye, 32’si ayrıcalık yükseltmesine, 14’ü bilgilerin açığa çıkmasına, 12’si DoS’e, sekizi Secure Boot zafiyetine ve yedisi sahtecilik saldırılarına izin veren zafiyetleri içeriyor.

Windows kullanıcıları, ortaya çıkabilecek güvenlik risklerinden korunmak ve zafiyetleri gidermek için Temmuz ayı güncellemelerini yüklemeleri gerekiyor.

Zafiyet

Apple önemli 0-Day zafiyetlerini giderdi: Güncellemeleri unutmayın

Yorum yapın

ABD’li teknoloji devi Apple geçtiğimiz günlerde istismar edildiği açıklanan 0-day zafiyetlerini yayımlanan güncellemelerle giderdi.

Apple’ın iPhone, iPad, iPod, MacOS ve Apple Watch ürünlerindeki Webkit motorunun aktif olarak istismar edildiği şirket tarafından açıklanmıştı.

Web tarayıcılarına, web sayfalarının işlenmesine izin vermek için tasarlanan Webkit motorunda keşfedilen CVE-2021-30665 ve CVE-2021-30663 hata kodlu 0-day’ler, RCE saldırılarında kullanılıyor.

CVE-2021-30665, Çinli güvenlik şirketi Qihoo 360 araştırmacıları tarafından keşfedilirken, CVE-2021-30663 anonim olarak kalmak isteyen bir araştırmacı tarafından bildirildi.

Söz konusu 0-day’ler  iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), macOS Big Sur, Apple Watch Series 3 ve sonraki sürümlerini etkiliyor.

EN KAPSAMLI GÜNCELLEMELERDEN BİRİ

Apple ise yayımladığı iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 ve watchOS 7.4.1 güncellemelerinde söz konusu güvenlik zafiyetlerini giderdi.

Apple, en kapsamlı güncellemelerinden biri olan iOS 14.5’u uzun bir sürenin ardından yayımlamıştı. Yayımlanan yeni güncelleme beraberinde pek çok özellik getirirken aynı zamanda kritik güvenlik zafiyetlerini gidermek için de önem taşıyordu.

Apple, iOS 14.5’le beraber geçtiğimiz günlerde duyurduğu, istediğiniz herhangi bir nesneyi takip etmenize yarayan AirTag için iPhone ve iPad’lere AirTag desteği sunuyor. Ayrıca Apple, takip şeffaflığı, yeni emojiler, FaceID ve Siri gibi çeşitli konularda yeni özelliklerini devreye sokuyor.

Ancak bunların yanında söz konusu güncelleme, 50 güvenlik zafiyetini gidermeyi hedefliyor.

GÜNCELLEME BİR AN ÖNCE YÜKLENMELİ

Bahsedilen 50 güvenlik zafiyeti arasında son derece kritik olan CVE-2021-30661 hata kodlu açık, WebKit Deposundaki bir hatadan kaynaklanıyor. Siber saldırganlar tarafından ‘aktif olarak istismar edilmiş olabilir’ denilen açık iPhone’larda RCE saldırılarına yol açıyor.

Güncelleştirme boyutu her ne kadar bir miktar zamanınızı alacak kadar büyük olsa da güvenlik araştırmacıları bir an evvel güncellemeyi yüklemenizi öneriyor.