Microsoft'un Ocak 2024 Windows Güncellemesi 48 Yeni Güvenlik Açığını Yamalıyor

Microsoft, Ocak 2024 için Salı Yaması güncellemelerinin bir parçası olarak yazılımını kapsayan toplam 48 güvenlik açığını ele aldı.

48 hatadan ikisi Kritik, 46'sı ise önem derecesi Önemli olarak derecelendirilmiştir. Sorunlardan herhangi birinin yayınlandığı sırada herkes tarafından bilindiğine veya aktif saldırı altında olduğuna dair hiçbir kanıt yok, bu da onu sıfır gün olmadan art arda ikinci Salı Yaması yapıyor.

Düzeltmeler, Aralık 2023 Salı Yaması güncellemelerinin yayınlanmasından bu yana Chromium tabanlı Edge tarayıcısında çözülen dokuz güvenlik açığına ektir. Bu aynı zamanda Google'ın vahşi doğada aktif olarak istismar edildiğini söylediği sıfır gün (CVE-2023-7024, CVSS puanı: 8.8) için bir düzeltmeyi de içerir.

Bu ay yamalanan kusurlar arasında en kritik olanları aşağıdaki gibidir:

CVE-2024-20674 (CVSS puanı: 9.0) - Windows Kerberos Güvenlik Özelliği Atlama Güvenlik Açığı
CVE-2024-20700 (CVSS puanı: 7,5) - Windows Hyper-V Uzaktan Kod Yürütme Güvenlik Açığı

Microsoft, CVE-2024-20674 için bir danışma belgesinde, "Bu güvenlik açığı kimliğe bürünmeye izin verdiği için kimlik doğrulama özelliği atlanabilir" dedi.

"Kimliği doğrulanmış bir saldırgan, ortadaki makine (MitM) saldırısı veya başka bir yerel ağ sahtekarlığı tekniği oluşturarak ve ardından kendisini Kerberos kimlik doğrulama sunucusu olarak taklit etmek için istemci kurban makinesine kötü amaçlı bir Kerberos iletisi göndererek bu güvenlik açığından yararlanabilir."

Ancak şirket, başarılı bir istismarın önce bir saldırganın kısıtlı ağa erişmesini gerektirdiğini belirtti. Güvenlik araştırmacısı ldwilmore34, kusuru keşfetme ve bildirme konusunda kredilendirildi.

Öte yandan CVE-2024-20700, uzaktan kod yürütmeyi sağlamak için kimlik doğrulama veya kullanıcı etkileşimi gerektirmez, ancak bir yarış koşulunu kazanmak, bir saldırı hazırlamak için bir ön koşuldur.

Rapid7'nin baş yazılım mühendisi Adam Barnett, verdiği bir demeçte, "Saldırganın tam olarak nerede bulunması gerektiği (hipervizörün bulunduğu LAN veya hipervizör tarafından oluşturulan ve yönetilen sanal bir ağ) veya uzaktan kod yürütmenin hangi bağlamda gerçekleşeceği açık değil" dedi.

Diğer önemli kusurlar arasında CVE-2024-20653 (CVSS puanı: 7.8), Ortak Günlük Dosya Sistemi (CLFS) sürücüsünü etkileyen bir ayrıcalık yükseltme kusuru ve CVE-2024-0056 (CVSS puanı: 8.7), System.Data.SqlClient ve Microsoft.Data.SqlClient'ı etkileyen bir güvenlik atlaması.

Redmond, CVE-2024-0056 hakkında "Bu güvenlik açığından başarıyla yararlanan bir saldırgan, ortadaki makine (MitM) saldırısı gerçekleştirebilir ve istemci ile sunucu arasındaki TLS trafiğinin şifresini çözebilir ve okuyabilir veya değiştirebilir" dedi.

Microsoft ayrıca, uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığı (CVE-2024-20677, CVSS puanı: 7.8) nedeniyle Windows'ta Word, Excel, PowerPoint ve Outlook'a FBX dosyaları ekleme özelliğini varsayılan olarak devre dışı bıraktığını kaydetti.

Microsoft ayrı bir uyarıda, "Daha önce bir FBX dosyasından eklenen Office belgelerindeki 3B modeller, ekleme zamanında 'Dosyaya Bağla' seçeneği seçilmediği sürece beklendiği gibi çalışmaya devam edecek" dedi. "GLB (İkili GL İletim Biçimi), Office'te kullanım için önerilen yedek 3B dosya biçimidir."

Microsoft'un, Zscaler'ın Microsoft 365 uygulamalarında 117 güvenlik açığı keşfetmesinin ardından geçen yıl Office'te SketchUp (SKP) dosya biçimini devre dışı bırakmak için benzer bir adım attığını belirtmekte fayda var.

Diğer Satıcılardan Yazılım Yamaları

Microsoft'a ek olarak, aşağıdakiler de dahil olmak üzere çeşitli güvenlik açıklarını düzeltmek için son birkaç hafta içinde diğer satıcılar tarafından güvenlik güncellemeleri de yayınlandı: