- Teknoloji devleri Apple, Google ve Microsoft’un yaz ayında yaptığı güvenlik güncellemeleri devam ediyor.
- Yazılım devleri de bu kervana katıldı ve onlar da kullanıcıları için güvenlik güncellemeleri paylaşmaya başladı.
- Bütün şirketler, güvenlik açıklarından yararlanılmasını önlemek için kullanıcılarına güvenlik güncellemelerini yapmalarını tavsiye ediyor.
Teknoloji devleri Apple, Google ve Microsoft’un yapılan saldırılarda kullanılan açıklarını düzeltmek için birden fazla güncelleme yayımlamasıyla yaz ayındaki güncellemeler döngüsü devam ediyor. Temmuz ayında ayrıca kurumsal yazılım firmaları SAP, Citrix ve Oracle tarafından da ciddi hatalar giderildi.
İşte ay boyunca yayımlanan önemli güncellemeler hakkında bilmeniz gerekenler:
Apple iOS ve iPadOS 16.6
Apple, ay içerisinde iki ayrı güvenlik güncellemesi yaptı. Şirket, ilk güncellemesini sadece güvenlik amaçlı bir Rapid Security Response güncellemesi olarak yayımladı. İkinci bir güncellemesini ise Hızlı Güvenlik Yanıtı olarak yayımladı ve süreç ilki kadar sorunsuz olmadı.
10 Temmuz’da Apple, saldırılarda kullanılan WebKit açığını düzeltmek için iOS 16.5.1 9’u yayımladı ancak iPhone üreticisi güncellemenin kullanıcılar için web sitesini bozduğunu keşfettikten sonra güncellemeyi geri çekti. Birkaç gün sonra güncellemeyi iOS 16.5.1 (c) olarak yayımladı ve sorunu düzeltti.
iOS 16.6’da giderilen diğer hataların arasında iOS işletim sisteminin çekirdeğinde yer alan Kernel bölümünde ki 11 hata da yer alıyor. Kernel hataları, güvenlik kuruluşu olan Kaspersky tarafından keşfedildi.
Microsoft
Microsfot’un temmuz ayındaki güncellemesi, 132 güvenlik açığını düzelttiği için dikkat edilmesi gereken bir güncelleme. Güncellemesinde ayrıntılı olarak açıklanan ve CVE-2023-36884 kodu ile takip edilen hatalardan biri düzeltilemedi. Ayrıca teknoloji devi, bir Rus siber suç çetesi tarafından saldırılarda kullanıldığı anlaşılan kusuru gidermek için adımlar öneriyor.
Diğer güncellemeler arasında MSHTML çekirdek Windows bileşeninde bir platform ve yükseltme hatası olan CVE-2023-32046 ve Windows Hata Raporlama hizmetinde bir saldırganın yönetici izni almasına yardımcı olabilecek bir güvenlik açığı olan CVE-2023-36874 yer aldı.
Google Android
Google, Android işletim sistemini güncelleyerek düzinelerce güvenlik açığını düzeltti. Hâlihazırda kötüye kullanılan güvenlik açıklarından ilki CVSS puanı 9.6 olan bir uzaktan kod yürütme hatası olan CVE-2023-2136 oldu. Google “kötüye kullanım için kullanıcı etkileşiminin gerekli olmadığını belirtiyor” uyarısında bulundu.
Cve-2023-26083 Bifrost, Avalon ve Valhall çipleri için Arm Mali GPU sürücüsündeki bir sorun ve orta düzey bir etkiye sahip. Bu güvenlik açığı, Aralık 2022’de Samsung cihazlarına casus yazılım göndermek için kullanılmıştı.
Android’e yapılan güncellemeler, Google’ın Pixel cihazlarına ve Samsung’un Galaxy serisinin bazılarına çoktan ulaşmış durumda.
Google Chrome 115
Google, popüler tarayıcısı olan Chrome için dördü yüksek etkiye sahip olan 20 güvenlik açığını düzelten Chrome 115 güncellemesini yayımladı. Chrome, oldukça fazla hedef alınan bir platform olduğundan sisteminizi yeni bir güncelleme için kontrol etmeniz gerekir.
Firefox 115
Chrome’un rakibi Mozilla, Chrome 115’in hemen ardından Firefox 115’i yayımladı. Bununla birlikte yüksek önem derecesine sahip olarak değerlendirdiği birkaç kusuru düzeltti. Bunlar arasında CVE-2023-37201 ve CVE-2023-37202 olarak isimlendirilen iki dinamik belleğin hatalı kullanımı problemi yer alıyor.
Gizlilik bilincine sahip olan tarayıcı geliştiricisi ayrıca CVE-2023-37212 ve CVE-2023-37211 olarak izlenen iki bellek güvenliği hatasını da düzeltti.
Citrix
Kurumsal yazılım devi Citrix, NetScaler ADC ve NetScaler Gateway araçlarında bulunan ve bir tanesi önceki saldırılarda kullanılmış olan birden fazla açığı düzelttikten sonra bir güncelleme uyarısı yayımladı.
CVE-2023-3519 olarak isimlendirilen ve hâlihazırda kötüye kullanılan açık, NetScaler ADC ve NetScaler Gateway’de kimliği doğrulanmamış bir uzaktan kod yürütme açığı. Cloud Software Group, NetScaler ADC ve NetScaler Gateway’in açıklarından etkilenen müşterilerine, güncellemeleri mümkün olan en kısa sürede yüklemelerini tavsiye etti.
SAP
Bir başka kurumsal yazılım firması olan SAP, 16 güvenlik düzeltmesi içeren Temmuz Güvenlik Yama Günü’nü yayımladı.
Oracle
Yazılım şirketi Oracle, ürünlerindeki 508 güvenlik açığını düzelten Temmuz Kritik Yama Güncelleme Danışmanlığı isimli bir güncelleme yayımladı. Düzeltmeler arasında Oracle Communications için 77 yeni güvenlik güncellemesi de bulunuyor. Oracle bu güvenlik açıklarından 57 tanesinin kullanıcı kimlik bilgileri olmadan bir ağ üzerinden istismar edilebileceği konusunda uyardı.
Oracle güncellemenin uygulanmadığı için saldırganların başarılı olduğunu belirtti ve kullanıcılarının şiddetle güvenlik güncellemelerini kurmalarını tavsiye etti.
Derleyen: Davut Bulut