Bu haftanın başlarında Microsoft, bir ASP.NET Core güvenlik kusurunun aldığı "şimdiye kadarki en yüksek" önem derecesi ile işaretlenen bir güvenlik açığını düzeltti.
Bu HTTP isteği kaçakçılığı hatası (CVE-2025-55315), Kestrel ASP.NET Core web sunucusunda bulundu ve kimliği doğrulanmış saldırganların, diğer kullanıcıların kimlik bilgilerini ele geçirmek veya ön uç güvenlik kontrollerini atlamak için başka bir HTTP isteğini kaçırmasına olanak tanıyor.
Microsoft, Salı günü yayınlanan bir danışma belgesinde "Bu güvenlik açığından başarıyla yararlanan bir saldırgan, diğer kullanıcıların kimlik bilgileri (Gizlilik) gibi hassas bilgileri görüntüleyebilir ve hedef sunucudaki dosya içeriklerinde değişiklikler yapabilir (Bütünlük) ve sunucunun çökmesine neden olabilir (Kullanılabilirlik)" dedi.
ASP.NET Core uygulamalarının olası saldırılara karşı korunmasını sağlamak için Microsoft, geliştiricilere ve kullanıcılara aşağıdaki önlemleri almalarını önerir:
Microsoft, güvenlik açığını gidermek için Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 ve ASP.NET Core 9.0'ın yanı sıra ASP.NET Core 2.x uygulamalarına yönelik Microsoft.AspNetCore.Server.Kestrel.Core paketi için güvenlik güncelleştirmeleri yayımladı.
.NET güvenlik teknik program yöneticisi Barry Dorrans'ın açıkladığı gibi, CVE-2025-55315 saldırılarının etkisi hedeflenen ASP.NET uygulamasına bağlı olacaktır ve başarılı bir şekilde yararlanma, tehdit aktörlerinin farklı bir kullanıcı olarak oturum açmasına (ayrıcalık yükseltme için), dahili bir istek yapmasına (sunucu tarafı istek sahteciliği saldırılarında), siteler arası istek sahteciliği (CSRF) kontrollerini atlamasına veya enjeksiyon saldırıları gerçekleştirmesine olanak tanıyabilir.
Dorrans, "Ancak neyin mümkün olduğunu bilmiyoruz çünkü bu, uygulamanızı nasıl yazdığınıza bağlıdır. Bu nedenle, mümkün olan en kötü durumu, kapsamı değiştiren bir güvenlik özelliğini atlamayı göz önünde bulundurarak puan veriyoruz" dedi.
"Bu muhtemel mi? Hayır, muhtemelen uygulama kodunuz tuhaf bir şey yapmıyorsa ve her istekte yapması gereken bir dizi kontrolü atlamıyorsa hayır. Ancak lütfen güncellemeye gidin."
Bu ayın Salı Yaması sırasında Microsoft, sekiz "Kritik" güvenlik açığı ve altı sıfır gün hatası (bunlardan üçü saldırılarda kullanıldı) dahil olmak üzere 172 kusur için güvenlik güncellemesi yayınladı.
Bu hafta Microsoft, işletim sistemi destek yaşam döngüsünün sonuna ulaştığında son Windows 10 güvenlik güncellemelerini içeren toplu bir güncelleme olan KB5066791'i de yayınladı.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Bilgisayar korsanları, anahtarlara rootkit dağıtmak için Cisco SNMP kusurundan yararlanıyor
Gladinet, dosya paylaşım yazılımında aktif olarak kullanılan sıfır gün düzeltmelerini düzeltiyor
F5, çalınan güvenlik açıkları için BIG-IP yamalarını yayınladı
Microsoft Ekim 2025 Yaması Salı, 6 sıfır gün ve 172 kusuru düzeltti
Güvenli Önyükleme atlama riski yaklaşık 200.000 Linux Framework dizüstü bilgisayarı tehdit ediyor
Kaynak: Bleeping Computer