Bugün Microsoft'un Salı günü Ağustos 2023 yaması, iki aktif olarak sömürülen ve yirmi üç uzaktan kod yürütme güvenlik açıkları da dahil olmak üzere 87 kusur için güvenlik güncellemeleri.
Yirmi üç RCE hatası sabitlenirken, Microsoft sadece altısını 'kritik' olarak değerlendirdi.
Her güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
Bu sayılar bu ayın başlarında sabitlenen on iki Microsoft Edge (Chromium) güvenlik açıklarını içermez.
Bu ayki Yama Salı günü, her ikisi de saldırılarda sömürülen hem de bunlardan biri kamuya açıklanan iki sıfır günlük güvenlik açığını düzeltir.
Microsoft, herhangi bir resmi düzeltme olmadan herkese açık olarak ifşa edilirse veya aktif olarak kullanılırsa, bir güvenlik açığını sıfır gün olarak sınıflandırır.
Bugünün güncellemelerindeki aktif olarak sömürülen iki sıfır günlük güvenlik açıkları:
ADV230003 -Microsoft Office Savunma Derinlemesine Güncelleme (herkese açık olarak açıklandı)
Microsoft, daha önce azaltılmış ve aktif olarak kullanılmış CVE-2023-36884 Uzak Kod Yürütme Kusurunun bir yama baypasını düzeltmek için bir Ofis Savunması Derinlik Güncellemesi yayınladı.
CVE-2023-36884 Kusur, tehdit aktörlerinin Web (MOTW) güvenlik özelliğinin işaretini atlayabilen ve bir güvenlik uyarısı göstermeden ve uzaktan kod yürütme gerçekleştirmeden dosyaların açılmasına neden olabilecek özel hazırlanmış Microsoft Office belgeleri oluşturmasına izin verdi.
Güvenlik açığı, daha önce endüstriyel casus fidye yazılımlarını saldırılara dağıttığı bilinen Romcom Hacking Grubu tarafından aktif olarak kullanıldı. Fidye yazılımı operasyonu o zamandan beri kurbanları zorla devam ettikleri 'yeraltı' olarak yeniden markalaştı.
Kusur, Paul Rascagneres ve Tom Lancaster tarafından Volexity ile keşfedildi.
CVE-2023-38180-.NET ve Visual Studio Güvenlik Açığı Reddetme
Microsoft, .NET uygulamalarına ve Visual Studio'ya DDOS saldırısına neden olabilecek aktif olarak sömürülen bir güvenlik açığını düzeltti.
Ne yazık ki, Microsoft bu kusurun saldırılarda nasıl kullanıldığına dair ek ayrıntıları paylaşmadı ve güvenlik açığını kimin keşfettiğini açıklamadı.
Ağustos 2023'te güncellemeler veya tavsiyeler yayınlayan diğer satıcılar şunları içerir:
CISA, NSA ve FBI tarafından ortak bir rapor olan Beş Gözler Siber Güvenlik yetkilileri, 2022 boyunca en çok sömürülen 12 güvenlik açıklarının bir listesini paylaştı.
Aşağıda, Ağustos 2023 Yaması Salı güncellemelerinde çözülmüş güvenlik açıklarının tam listesi bulunmaktadır.
Her güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını buradan görüntüleyebilirsiniz.
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Windows 11 KB5028185 Moment 3 özellikleriyle yayınlanan kümülatif güncelleme
Windows 11 KB5027231 34 değişiklik ile yayınlanan kümülatif güncelleme
Windows 11 KB5029263 Kümülatif Güncelleme 27 düzeltme ile yayınlandı
Windows 10 KB5029244 ve KB5029247 Güncellemeler Serbest Bırakıldı
Kaynak: Bleeping Computer