Microsoft, yeni işletim sistemi Windows 11’deki sorunları çözerken, Windows 10’u da unutmadı. Şirket, mart ayı yaması kapsamında yaklaşık 80 güvenlik açığını gidermek için bir dizi güncelleme yayınladı. Güvenlik açıklarını kapatan yeni güncellemeler Windows 10 kurulu olan bilgisayarlara otomatik olarak kurulacak.
Microsoft yeni güncelleme ile birçok güvenlik sorununu giderdi
Şirket tarafından belirtilen 80 hatadan sekizi ‘kritik, 71’i ‘önemli’ ve biri de önem derecesi ‘orta’ olarak derecelendiriliyor. KB5023696 ve KB5023697 isimli iki yama, Windows 10 sürümleri 22H2, 21H2, 21H1, 1809 ve 1607’nin yanı sıra Windows Server 2016’daki sistem ve güvenlik sorunlarını gideriyor. Windows 10 1507’deki Excel sorunları da ayrıca KB5023713 yaması ile düzeltiliyor.
Microsoft ayrıca, Nisan 2022’ye kadar aktif olarak bulunan CVE-2023-23397 ve CVE-2023-24880 olarak kodlanan iki kritik güvenlik açığı için düzeltmeler yayınladı. CVE-2023-23397, bir hedefin uzak URL’lere bağlanmaya ve Windows hesabının Net-NTLMv2 hash’ini iletmeye zorlayabilen özel e-postalar oluşturmaya izin veren bir saldırı tekniği olarak nitelendiriliyor. CVE-2023-24880 ise Windows Web İşareti güvenlik uyarısını atlayan yürütülebilir dosyalar oluşturmak için kullanılabilen bir Windows SmartScreen güvenlik açığı olarak karşımıza çıkıyor.
Öte yandan CVE-2023-24880 güvenlik açığınını internetten indirilen güvenilmeyen dosyaları açarken Mark-of-the-Web (MotW) korumalarından kaçınmak için kullanılabilecek bir güvenlik baypasındaki hata sonucunda oluştuğu ifade ediliyor.
Bu hatanın nedeni ise geçtiğimiz yıl ortaya çıkan ve mali olarak desteklenen bilgisayar korsanları tarafından Magniber fidye yazılımı için kullanılan başka bir SmartScreen baypas hatasının (CVE-2022-44698, CVSS puanı: 5.4) çözülmesi için Microsoft tarafından yayınlanan küçük bir yama olarak gösteriliyor.
Google Tehdit Analizi Grubu (TAG), Ocak 2023’ten bu yana hatalı biçimlendirilmiş Authenticode imzasıyla imzalanmış 100 binden fazla kötü amaçlı MSI dosyasının indirildiğini gözlemlediklerini açıkladı. Saldırganların böylece herhangi bir güvenlik uyarısı oluşmadan Magniber fidye yazılımını kolayca dağıtabildikleri belirtiliyor.
Ayrıca HTTP Protokolü Yığını (CVE-2023-23392, CVSS puanı: 9.8), İnternet Kontrol İletisi Protokolü (CVE-2023-23415, CVSS puanı: 9.8) ve uzaktan kontrolü etkileyen bir dizi kritik kod yürütme kusuru da yeni yama ile birlikte Microsoft tarafından giderildi.
Microsoft ayrıca OneDrive for Android‘deki iki kişisel veri kusurunu (CVE-2023-24882 ve CVE-2023-24923, CVSS puanları: 5.5) ve Office for Android’teki bir kimlik sahtekarlığı güvenlik açığını (CVE-2023-23391, CVSS puanı: 5.5) düzeltti. Diğer yandan, OneDrive for iOS‘ta (CVE-2023-24890, CVSS puanı: 4,3) bir güvenlik atlama hatası ve OneDrive for macOS için de (CVE-2023-24930, CVSS puanı: 7,8) bir ayrıcalık sorunu yine ortadan kaldırıldı.
Microsoft, yeni Windows 10 güncelleme paketi ile birlikte birçok büyük sorunun önüne geçildiğini ifade ediyor. Peki siz Windows 10 ve mart ayı güncelleme notları hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlar kısmında bizimle paylaşabilirsiniz.
{{user}} {{datetime}}
{{text}}