Bugün, Microsoft'un Salı günü Temmuz 2024 yaması, iki aktif olarak sömürülen ve iki kamuya açık iki sıfır gün de dahil olmak üzere 142 kusur için güvenlik güncellemeleri içeriyor.
Bu yama Salı günü, tüm uzak kod yürütme kusurları olan beş kritik güvenlik açıkını sabitledi.
Her güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
Bugün yayınlanan güvenlik dışı güncellemeler hakkında daha fazla bilgi edinmek için, yeni Windows 11 KB5040442 güncellemesi ve Windows 10 KB5040427 güncellemesi hakkındaki özel makalelerimizi inceleyebilirsiniz.
Bu ay Salı günü yaması, aktif olarak sömürülen iki ve diğer iki kamuoyu sıfır günlük güvenlik açıklarını düzeltiyor.
Microsoft, sıfır gün kusurunu, resmi bir düzeltme bulunmadığı halde kamuya açıklanan veya aktif olarak kullanılan bir kusur olarak sınıflandırır.
Bugünün güncellemelerindeki aktif olarak sömürülen iki sıfır günlük güvenlik açıkları:
CVE-2024-38080-Windows Hyper-V İmtiyaz Güvenlik Açığı Yüksekliği
Microsoft, saldırganlara sistem ayrıcalıkları veren ayrıcalıkların güvenlik açığının aktif olarak sömürülen hiper-V'lik bir yükselmesini düzeltti.
Microsoft, "Bu güvenlik açığını başarıyla kullanan bir saldırgan, sistem ayrıcalıkları kazanabilir."
Microsoft, kusurun aktif olarak sömürüldüğünü belirtirken, kim keşfettiği de dahil olmak üzere güvenlik açığı hakkında daha fazla ayrıntı paylaşmadı.
CVE-2024-38112-Windows MSHTML Platformu Sahiplik Güvenlik Açığı
Microsoft, aktif olarak sömürülen bir Windows MSHTML sahtekarlığı kırılganlığını düzeltti.
Microsoft, "Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın hedef ortamı hazırlamak için sömürüden önce ek işlemler yapmasını gerektiriyor."
Microsoft, "Bir saldırgan kurbana kurbanın yürütmesi gereken kötü niyetli bir dosya göndermek zorunda kalacaktı."
Microsoft, güvenlik açığının nasıl kullanıldığı hakkında daha fazla ayrıntı paylaşmadı.
Kusur, kontrol noktası araştırmasıyla Haifei Li açıklandı.
Kamuoyu açıklanan iki güvenlik açıkları şunlardır:
CVE-2024-35264-.NET ve Visual Studio Uzaktan Kod Yürütme Güvenlik Açığı
Microsoft, herkese açık olarak açıklanan bir .NET ve Visual Studio RCE'yi düzeltti.
Microsoft, "Bir saldırgan, bir yarış koşuluna yol açan istek gövdesi işlenirken bir HTTP/3 akışını kapatarak bunu kullanabilir. Bu, uzaktan kod yürütmesine neden olabilir."
Microsoft, kamuya açıklandığı yerlerde paylaşılmadı ve Microsoft Corporation'dan Radek Zikmund tarafından dahili olarak keşfedildiğini söyledi.
CVE-2024-37985-ARM: CVE-2024-37985 Tescilli ön filetişlerin sistematik olarak tanımlanması ve karakterizasyonu
Microsoft, "gizli bilgileri" çalmak için kullanılabilecek daha önce açıklanmış bir "fetchbench" yan kanal saldırısını düzeltti.
Microsoft, "Bu güvenlik açığını başarıyla kullanan bir saldırgan, yığın belleğini sunucuda çalışan ayrıcalıklı bir işlemden görebilir."
Microsoft, "Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın hedef ortamı hazırlamak için sömürüden önce ek işlemler yapmasını gerektiriyor."
Temmuz 2024'te güncellemeler veya tavsiyeler yayınlayan diğer satıcılar şunları içerir:
Aşağıda, Temmuz 2024 Yaması Salı güncellemelerinde çözülmüş güvenlik açıklarının tam listesi bulunmaktadır.
Her güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını buradan görüntüleyebilirsiniz.
Microsoft Haziran 2024 Patch Salı 51 Kusur, 18 RCE
Microsoft Mayıs 2024 Patch Salı 3 sıfır gün, 61 kusur düzeltiyor
Windows 10 KB5040427 Güncellemesi Copilot Değişiklikleri, 12 Düzeltme ile Yayınlandı
Windows 11 KB5039212 Güncellemesi 37 değişiklik, düzeltmelerle yayınlandı
Windows 10 KB5037768 Güncellemesi yeni özelliklerle ve 20 düzeltme ile yayınlandı
Kaynak: Bleeping Computer