Yazarlar

Microsoft bu hafta Ekim ayı için salı günü güncelleştirmelerini yayınladı. Bu güncelleştirmeler ile 9 kritik, 49 önemli ve 1 orta düzey olmak üzere 59 güvenlik açığı giderildi. Bu ay yayınlanan güncelleştirmelerin iyi tarafı, giderilen güvenlik açıklarının hiçbirinin henüz topluma açıklanmaması oldu. Güncelleştirmeler ile giderilen iki kritik güvenlik açığı, VBScript motorunda RCE güvenlik açığına neden olmaktadır. Her iki açıklık VBScript motorunun...

CVE-2019-16759 kodlu vBulletin güvenlik açığına karşı CloudFlare tarafından önlem alındı. Güvenlik açığı, hedef sistem üzerinde uzaktan kod çalıştırma imkanı sunmaktadır. Uzaktan kod çalıştırma imkanı veren güvenlik açıkları saldırganlar tarafından; hedef sistemi ele geçirme, hedef sisteme zararlı yazılım yükleme, veri çekme ve hedef sistemi kurban makine haline getirip istekleri doğrultusunda kullanma amaçlarıyla istismar edilebilir. Cloudflare, müşterilerinin sistemlerini korumak için vBulletin istismarına karşı...

Artan Jailbreak Güvenlik Açıkları Mobil Cihazların Güvenlik Risklerine Dikkat Çekiyor Jailbreaking, mobil cihazlardaki kısıtlamaları atlatarak yüksek hak ve yetkilere ulaşmak için kullanılan bir yöntemdir. Bu exploit genellikle saldırganların Apple cihazlardaki işletim sistemini özel hazırlanmış bir çekirdekle değiştirmeleri ile gerçekleşir. Son zamanlarda ortaya çıkan jailbreak zafiyetleri mobil cihazlar üzerindeki tehditlerin arttığını gösteriyor. Yeni çıkan "Checkm8" adlı jailbreak, iPhone 4S ile iPhone 8...

Adobe, ColdFusion’da tespit edilen 3 tane kritik güvenlik açığı için güncelleştirme yayınladı. Bu güvenlik açıklarından CVE-2019-8073 kodlu güvenlik açığı, Command Injection yapılarak hedef sistem üzerinde rastgele komut çalıştırmaya olanak vermektedir. Bir diğer güvenlik açığı CVE-2019-8074 kodu ile belirtilip dizinlere erişim kontrolünü bypass ederek kritik dizinlere erişmesine olanak vermektedir. Son olarak CVE-2019-8072 kodlu güvenlik açığı hedef sistem üzerinde bilgi ifşasına sebep olmaktadır. Adobe...

Dün bir hacker tarafından internet üzerindeki 100.000’den fazla web sitesinde kullanılan bir forum paketi olan vBulletin üzerinde keşfedilen 0-day RCE güvenlik zafiyeti için exploit kodları paylaşıldı. Bu zafiyetten yararlanabilen saldırganlar, kimlik doğrulamaya gerek kalmadan uzaktan komut çalıştırabilirler. Güvenlik açığı, vBulletin’e ait widget dosyasının URL parametreleri aracılığıyla konfigürasyonları kabul etmesi ve ardından güvenlik kontrolleri olmadan bunları sunucuda ayrıştırması sonucunda saldırganların komutları...

Cisco 2016 yılında IPv6 üzerinde DOS saldırısına sebep olan güvenlik açığı için yeni bir patch yayınlanacak. Bu güvenlik açığı, Cisco ürününün IPv6 paketlerini işleme sırasında ortaya çıkan bir güvenlik açığıdır. Bir saldırganın uzaktan kimlik doğrulaması yapılmadan etkileşim kurduğu bir Cisco aygıtının IPv6 trafiğini işlemesini durdurmaya yönelik DOS saldırısı yapılabilir. Güvenlik açığı, etkilenen bir aygıta hazırlanmış IPv6 paketlerinin gönderilmesiyle yetersiz işlem mantığı...

IoT cihazlarındaki güvenlik açıkları son 5 yılda ikiye katlandı. Yeni keşfedilen güvenlik açıkları; Belkin, TP-Link, Asus, Linksys gibi üretici firmaların ürünlerini etkiliyor. Bir araştırma şirketi olan Independent Security Evalutors (ISE) 2013 yılında, 13 adet SOHO kablosuz yönlendiricisi ve NAS cihazlarındaki güvenlik açıkları ile ilgili bir çalışma yapmıştı. Bu çalışma sonucunda; Belkin, TP-Link, Asus ve Linksys gibi firmaların ürettiği cihazlarda 52...

Adobe şirketi, Flash Player ve Application Manager uygulamalarında bulunan 3 kritik güvenlik açığını kapatmak için yama yayınladı. Bu güvenlik açıklarından biri Adobe Application Manager uygulamasında tespit edilmiştir ve CVE-2019-8076 koduyla tanımlanmaktadır. Bu güvenlik açığından yararlanan saldırganlar DLL hijacking saldırısı yaparak sistem üzerinde rastgele kod çalıştırabilirler. Bu güvenlik açığının giderilmesi için Adobe Application Manager Installer uygulamasının 2019 sürümüne güncelleştirilmesi önerilmektedir. Adobe...

Microsoft bugün Eylül ayı için Salı günü güncelleştirmesini yayınladı. Bu güncelleştirme ile birlikte 17 tane kritik, 61 tane önemli ve 1 tane orta derecede olmak üzere 79 tane güvenlik açığı giderildi. Giderilen güvenlik açıklarından bir tanesi (CVE-2019-1235) Google güvenlik araştırmacılarından biri olan Tavis Ormandy tarafından Windows Text Service Framework (TSF) üzerinde tespit edilmişti. Sistem üzerinde hak ve yetki yükseltmeye olanak...

SuperMicro X9, X10 ve X11 sunucularında kritik güvenlik açıkları tespit edildi. USBAnywhere olarak adlandırılan güvenlik açıkları, sunuculardaki Baseboard Management Controller’larda (BMC’lerde) kimlik doğrulama mekanizmasının bypass edilerek herhangi bir USB aygıtının sanal olarak sisteme bağlanabilmesine sebep olmaktadırlar. Supermicro X9, X10, X11 platformlarda kimlik doğrulama yapılması sonucu parolaların açık metin olarak gitmesi, trafiğin bir bölümünün şifresiz olması ve geriye kalan bölümünde ise zayıf...

Zerodium, güvenlik araştırmacıları veya şirketler tarafından bulunan güvenlik açıklarını çözüm önerileri ile birlikte raporlayan ve ilgili kuruluşlara sunan bir şirkettir. Zerodium bu hafta fiyat listesini güncelledi ve bu listeye göre tespit edilen Android güvenlik açıkları IOS güvenlik açıklarına göre değer kazanmış durumda. Zerodium’a göre Android üzerinde keşfedilen güvenlik açıkları 1 yıl öncesine kadar araştırmacılara $200.000 kazandırabilirken, yeni açıklanan listeye göre Android...