Microsoft, Intel CPU'lardaki 'Bellek Eşlenmiş G/Ç eski Data (MMIO)' bilgi açıklama güvenlik açıkları için bant dışı güvenlik güncellemeleri yayınladı.
Eşlenmiş G/Ç yan kanal güvenlik açıkları başlangıçta Intel tarafından 14 Haziran 2022'de açıklandı ve kusurların sanal bir makinede çalışan süreçlerin başka bir sanal makineden gelen verilere erişmesine izin verebileceğini söyledi.
Bu güvenlik açıkları sınıfı aşağıdaki CVE'ler altında izlenir:
Salı günü Haziran Yaması'nın bir parçası olarak Microsoft, bu güvenlik açıklarının etkileyebileceği senaryo türleri hakkında bilgi içeren ADV220002'yi de yayınladı.
Microsoft, "Bu güvenlik açıklarını başarıyla kullanan bir saldırgan, ayrıcalıklı verileri güven sınırları arasında okuyabilir."
"Paylaşılan kaynak ortamlarında (bazı bulut hizmetleri yapılandırmalarında olduğu gibi), bu güvenlik açıkları bir sanal makinenin diğerinden uygunsuz bir şekilde erişmesine izin verebilir."
Diyerek şöyle devam etti: "Bağımsız sistemlerdeki tarama olmayan senaryolarda, bir saldırganın sisteme önceden erişmeden veya bu güvenlik açıklarından yararlanmak için hedef sisteme özel hazırlanmış bir uygulama yapabilmesine ihtiyaç duyacaktır."
Ancak, Microsoft'un danışmanlığına göre, Windows Server 2019 ve Windows Server 2022 için uygulanan azaltımlar dışında hiçbir güvenlik güncellemesi yayınlanmadı.
Microsoft, Windows 10, Windows 11 ve Windows Server için bu güvenlik açıklarını ele alan biraz kafa karıştırıcı bir dizi güvenlik güncellemesi yayınladı.
Destek bültenlerinden, yeni Intel mikrokodları veya cihazlara uygulanacak diğer hafifletmeler olup olmadıkları belirsizdir.
Bu güncellemeler Microsoft Update kataloğunda manuel güncellemeler olarak yayınlanıyor:
Bu güvenlik açıkları için hafifletmeler performans sorunlarına neden olabileceğinden ve bazı senaryolarda Intel hiper işleme teknolojisini (Intel HT teknolojisi) devre dışı bırakmadan kusurlar tam olarak çözülemeyebilir.
Bu nedenle, bu güncellemeleri uygulamadan önce hem Intel’in hem de Microsoft'un tavsiyelerini okumanız şiddetle tavsiye edilir.
Microsoft Şubat 2023 Patch Salı Düzeltmeleri 3 Sökücü Sıfır Günleri, 77 Kusur
Microsoft Ocak 2023 Patch Salı 98 Kusurlu Düzeltmeler, 1 Sıfır Gün
Microsoft, Intel Driver Bug'ın Windows PC'lerinde uygulamaları çökerttiğini söylüyor
Cisa, sıfır gün olarak sömürülen pencereler ve iOS hataları konusunda uyarıyor
Microsoft Edge güncellemesi bugün Internet Explorer 11'i devre dışı bırakmaya başladı
Kaynak: Bleeping Computer