Microsoft, kritik güvenlik açıklarına sebep olan 74 tane hatayı düzelttiğini belirterek güvenlik güncelleştirmelerini yayınladı. Toplamda ise, 11 kritik ve 64 önemli olan 75 CVE yayınladı.
Tespit edilen hatalardan bazıları, saldırganın uzaktan kod çalıştırarak hedef sistemi kontrol altına almasına neden olmaktadır. CVE-2019-1429 kodlu güvenlik açığı, saldırganın rastgele kod çalıştırmasına olanak verecek şekilde belleği bozmasına neden olur. Saldırgan böylelikle sistemdeki kurbanın kullanıcı hakları ile sistem denetimini ele geçirebilir.
Internet Explorer’da ortaya çıkan CVE-2019-1429 kodlu güvenlik açığı, kurbanın kötü niyetli bir web sayfaya yönlendirilmesi ve yönlendirilen sayfadan özel hazırlanmış Office belgesini açmasıyla kurbanın zararlı kodun çalışmasına izin vermesi sonucu meydana gelir. Kurbanın, Office belgesini zararlı olarak görmemesi için Office belgesinde “başlatma için güvenli” olarak işaretlenmiş bir ActiveX denetimi yerleştirilebilir.
Yayınlanan kritik güvenlik açıklarından bir diğeri ise Ekim ayının sonlarında sıfırıncı gün zafiyeti olarak yayınlanan CVE-2019-1457 kodlu güvenlik açığıdır. Microsoft Office Excel Feature Bypass olarak bilinen güvenlik açığı, bir Excel belgesindeki makro ayarlarının yanlış uygulanmasından kaynaklanmaktadır. Saldırgan güvenlik açığından yararlanmak için, kurbanı güvenlik açığını barındıran Microsoft Office yazılımı sürümüyle özel hazırlanmış bir dosyayı açmaya ikna etmesi gerekmektedir. Güvenlik açığından etkilenmemek için Excel belgelerindeki makro ayarlarının doğru ayarlanması gerekmektedir.
Sedat KIZILÇINAR
