Haberler

Windows’tan ASP.NET’e 129 Farklı Güvenlik Zafiyeti Giderildi

Microsoft, tespit edilen 129 yeni güvenlik zafiyeti için güncellemeler yayınladı.

Bilgi Güvende

tarafından

14 Eylül 2020

tarihinde yayımlandı

Microsoft, 9 Eylül Salı günü itibarıyla aylık yama (patch) listesini sundu. Windows‘tan ASP.NET‘e kadar uzanan ve 15 üründe yer alan 129 güvenlik zafiyeti için yama yapıldığı görüldü. Eylül’deki güvenlik zafiyetlerinin 32’sinin uzaktan kod uygulama eylemleri ile bağlantılı olduğu belirtildi. Söz konusu zafiyetler, siber korsanlara bir ağ üzerinden hedeflerine uzaktan erişim imkânı tanıyor.

Ek olarak 32 adet uzaktan kod yazılımı zafiyetinin 20’si “kritik” seviyede sınıflandırıldı. 20 zafiyetin Microsoft ölçeğinde yüksek tehdit seviyesinde olduğu bildirildi. Kritik uzaktan kod çalıştırma (RCE) zafiyetleri arasında öne çıkanlar şu şekilde sıralandı;

Windows (CVE-2020-1252)
On-premise Microsoft Dynamics 365 systems (CVE-2020-16857, CVE-2020-16862)
Windows Graphics Device Interface (GDI) (CVE-2020-1285)
Microsoft SharePoint (CVE-2020-1200, CVE-2020-1210, CVE-2020-1452, CVE-2020-1453, CVE-2020-1576, CVE-2020-1595)
Microsoft SharePoint Server (CVE-2020-1460)
Windows Media Audio Decoder (CVE-2020-1593, CVE-2020-1508)
Microsoft COM for Windows (CVE-2020-0922)
Windows Text Service Module (CVE-2020-0908)
Microsoft Windows Codecs Library (CVE-2020-1319, CVE-2020-1129)
Windows Camera Codec Pack (CVE-2020-0997)
Visual Studio (CVE-2020-16874)

Güvenlik araştırmacıları özellikle Windows, SharePoint ve Dynamics 365’i ilgilendiren zafiyetlerin oldukça ciddi olduğunun altını çiziyor.

Sistem yöneticilerine, Microsoft tarafından sunulan yama listesindeki zafiyetlerin kontrol edilmesi tavsiyesinde bulunuluyor. Ayrıca, sunulan yamaların direkt uygulanabilirliği veya ek test gerektirip gerektirmedikleri konusunda da geri bildirim yapmaları isteniyor.

Öte yandan kötü amaçlı yazılım geliştiriciler, Microsoft’un aylık güncellemelerini yakından takip edip ediyor. Çünkü kullanışlı zafiyetleri belirleyerek güncellenen bileşenleri analiz ediyor ve yapılan yamaları ortaya çıkarmaya çalışıyorlar. Böylelikle gelecekteki siber saldırılarda kullanılmak üzere yeni kötü amaçlı unsurlar geliştirmek istiyorlar.