e-GÜVENLİK, e-HABER

Hemen Güncelleyin!

hemen-guncelleyin

Her Kullanıcıyı İlgilendiriyor...

Google Chrome, Windows ve Zoom’u Hemen Güncellemeniz Gerekiyor…
Ayrıca: Apple, VMWare, Cisco, Zimbra, SAP ve Oracle’dan önemli yamalar…

Google, blogunda Ekim ayında düzeltilen diğer sorunların WebSQL’de CVE-2022-3446 olarak izlenen bir yığın arabellek taşması ve Permissions API’de CVE-2022-3448 olarak izlenen bir use-after-free hatası olduğunu yazdı. Google ayrıca Safe Browsing ve Peer Connection’daki iki use-after-free hatasını da düzeltti.

Google Android
Ekim ayı Android Güvenlik Bülteni, Framework ve System‘deki 15 kusur ile kernel ve vendor bileşenlerindeki 33 sorun için düzeltmeler içermektedir. En endişe verici sorunlardan biri, Çerçeve bileşeninde CVE-2022-20419 olarak izlenen yerel ayrıcalık artışına yol açabilecek kritik bir güvenlik açığıdır. Bu arada, Çekirdekteki bir kusur da ek yürütme ayrıcalıkları gerektirmeden yerel ayrıcalık artışına yol açabilir.

Bu sorunların hiçbirinin saldırılarda kullanılmadığı bilinmektedir, ancak yine de cihazınızı kontrol etmeniz ve mümkün olduğunda güncellemeniz mantıklı olacaktır. Google, güncellemeyi Pixel cihazları için yayımladı ve Samsung Galaxy S21 ve S22 serisi akıllı telefonlar ve Galaxy S21 FE için de mevcut.

Cisco
Cisco, güvenlik açıklarının saldırılarda kullanıldığının doğrulanmasının ardından şirketleri Windows için AnyConnect Secure Mobility Client‘taki iki açığı yamalamaya çağırdı. CVE-2020-3433 olarak takip edilen ilk açık, Windows’ta geçerli kimlik bilgilerine sahip bir saldırganın etkilenen makinede sistem ayrıcalıklarıyla kod çalıştırmasına izin verebilir.

Bu arada CVE-2020-3153, geçerli Windows kimlik bilgilerine sahip bir saldırganın sistem düzeyinde ayrıcalıklarla kötü amaçlı dosyaları rastgele konumlara kopyalamasına izin verebilir.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Cisco açıklarını halihazırda istismar edilen güvenlik açıkları kataloğuna ekledi.

Her iki Cisco açığı da saldırganın kimliğinin doğrulanmasını gerektirse de, şimdi güncelleme yapmak yine de önemlidir.

Zoom
Video konferans hizmeti Zoom, Ekim ayında toplantılar için Zoom istemcisinde bulunan ve 8.8 CVSS Puanı ile yüksek önem derecesine sahip olarak işaretlenen bir kusur da dahil olmak üzere çeşitli sorunları yamaladı. Zoom, 5.12.2 sürümünden önceki sürümlerin CVE-2022-28763 olarak izlenen bir URL ayrıştırma güvenlik açığına duyarlı olduğunu söylüyor.

Zoom bir güvenlik bülteninde “Kötü niyetli bir Zoom toplantı URL’si açılırsa, bağlantı kullanıcıyı rastgele bir ağ adresine bağlanmaya yönlendirebilir ve bu da oturum devralma dahil olmak üzere ek saldırılara yol açabilir" dedi.

Ayın başlarında Zoom, 5.10.6 ile başlayan ve 5.12.0’dan önceki macOS için toplantı istemcisinin bir hata ayıklama bağlantı noktası yanlış yapılandırması içerdiği konusunda kullanıcıları uyardı.

VMWare
Yazılım devi VMWare, Cloud Foundation‘daki ciddi bir güvenlik açığını yamaladı

CVE-2021-39144 olarak takip edilmektedir. XStream açık kaynak kütüphanesi aracılığıyla uzaktan kod yürütme güvenlik açığı, maksimum 9,8 CVSSv3 temel puanı ile kritik önem derecesine sahip olarak derecelendirilmiştir. VMWare‘den yapılan açıklamada, “VMware Cloud Foundation’da girdi serileştirme için XStream’den yararlanan kimliği doğrulanmamış bir uç nokta nedeniyle, kötü niyetli bir aktör cihaz üzerinde ‘root’ bağlamında uzaktan kod yürütme elde edebilir" denildi.

VMware Cloud Foundation güncellemesi ayrıca CVSSv3 temel puanı 5.3 olan bir XML External Entity güvenlik açığını da gidermektedir. CVE-2022-31678 olarak takip edilen hata, kimliği doğrulanmamış bir kullanıcının hizmet reddi gerçekleştirmesine izin verebilir.

Zimbra
Yazılım firması Zimbra, bir saldırganın kullanıcı hesaplarına erişmesine izin verebilecek halihazırda istismar edilen bir kod yürütme açığını düzeltmek için yamalar yaymladı. CVE-2022-41352 olarak takip edilen sorunun CVSS önem derecesi 9.8’dir.

İstismar, saldırılarda kullanıldığına dair işaretler tespit eden Rapid7 araştırmacıları tarafından tespit edildi. Zimbra başlangıçta sorunu çözmek için geçici bir çözüm yayımladı, ancak şimdi yama mevcut, en kısa sürede uygulamalısınız.

SAP
Kurumsal yazılım firması SAP, Ekim Yama Günü‘nde 23 yeni ve güncellenmiş Güvenlik Notu yayımladı. En ciddi sorunlar arasında SAP Manufacturing Execution‘daki kritik bir Path Traversal güvenlik açığı yer alıyor. Güvenlik açığı iki eklentiyi etkiliyor: İş Talimatı Görüntüleyicisi ve Görsel Test ve Onarım ve 9.9 CVSS puanına sahip.

CVSS puanı 9.6 olan bir diğer sorun ise SAP Commerce oturum açma sayfasındaki hesap ele geçirme güvenlik açığıdır.

Oracle
Yazılım devi Oracle, üç aylık güvenlik güncellemesinin bir parçası olarak tam 370 yama yayınladı. Oracle‘ın Ekim ayı Kritik Yama Güncellemesi kritik olarak değerlendirilen 50 güvenlik açığını düzeltiyor.

Güncelleme Oracle MySQL için 37 yeni güvenlik yaması içeriyor ve bunların 11’i kimlik doğrulama olmadan uzaktan istismar edilebilir. Ayrıca Oracle Finansal Hizmetler Uygulamaları için 16’sı kimlik doğrulama olmadan uzaktan istismar edilebilen 24 yeni güvenlik yaması içeriyor.

Başarılı bir saldırının yarattığı tehdit" nedeniyle Oracle, müşterilerin Kritik Yama Güncellemesi güvenlik yamalarını mümkün olan en kısa sürede uygulamalarını “şiddetle tavsiye etmektedir".

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…
Etiketler: , , ,
error: İçerik korunmaktadır !!