Microsoft bu hafta Ekim ayı için salı günü güncelleştirmelerini yayınladı. Bu güncelleştirmeler ile 9 kritik, 49 önemli ve 1 orta düzey olmak üzere 59 güvenlik açığı giderildi. Bu ay yayınlanan güncelleştirmelerin iyi tarafı, giderilen güvenlik açıklarının hiçbirinin henüz topluma açıklanmaması oldu.

Güncelleştirmeler ile giderilen iki kritik güvenlik açığı, VBScript motorunda RCE güvenlik açığına neden olmaktadır. Her iki açıklık VBScript motorunun bellekteki verileri işleme biçiminden kaynaklanıp saldırganların belleği bozmalarına ve saldırganların erişim sağladıkları kullanıcı hesabının hak ve yetkileriyle uzaktan kod çalıştırabilmelerine neden olmaktadır. Saldırganlar CVE-2019-1238 ve CVE-2019- 1239 olarak tanımlanan bu iki güvenlik açığından, kurbanların saldırganlar tarafından özel hazırlanmış bir web sitesini Internet Explorer üzerinden ziyaret etmeleri sonucu yararlanmaktadırlar.

Güncelleştirmeler ile giderilen üç kritik güvenlik açığı ise Chakra altyapısının Microsoft Edge belleğindeki nesneleri işleme biçiminden kaynaklanmaktadır ve RCE güvenlik açığına neden olmaktadır.

Bu ay yayınlanan salı günü güncelleştirmeleri ile giderilen önemli güvenlik açıklarının etkilediği servisler aşağıda listelenmiştir:

  • Microsoft Windows

  • Internet Explorer

  • Microsoft Edge

  • ChakraCore

  • Microsoft Office, Office Services and Web Apps

  • SQL Server Management Studio

  • Open Source Software

  • Microsoft Dynamics 365

  • Windows Update Assistant

Bu güvenlik açıklarının çoğu hak ve yetki yükseltme ve RCE güvenlik açıklarına neden olurken, diğer güvenlik açıkları XSS, güvenlik önlemlerini atlatma, veri sızdırma ve DOS saldırılarına neden olmaktadır. Güvenlik açıklarından etkilenmemek için güncelleştirmelerin en kısa sürede yapılması önerilmektedir.

Ramin Karimkhani