Bugün Microsoft'un Salı günü Nisan 2023 yaması ve güvenlik güncellemeleri aktif olarak sömürülen sıfır gün güvenlik açığını ve toplam 97 kusuru çözüyor.
Yedi güvenlik açıkları, en ciddi güvenlik açıkları olan uzaktan kod yürütülmesine izin vermek için 'kritik' olarak sınıflandırılmıştır.
Her güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
Bu sayı, 6 Nisan'da düzeltilen on yedi Microsoft Edge güvenlik açıklarını içermez.
Bugün yayınlanan güvenlik dışı güncellemeler hakkında daha fazla bilgi edinmek için, yeni Windows 11 KB5025239 Kümülatif Güncelleme ve Windows 10 KB5025221 ve KB5025229 güncellemeleri hakkındaki özel makalelerimizi inceleyebilirsiniz.
Bu ay Salı günü Patch, saldırılarda aktif olarak sömürülen bir sıfır günlük güvenlik açığını düzeltir.
Microsoft, herhangi bir resmi düzeltme olmadan herkese açık olarak ifşa edilirse veya aktif olarak kullanılırsa, bir güvenlik açığını sıfır gün olarak sınıflandırır.
Bugünün güncellemelerinde aktif olarak sömürülen sıfır gün kırılganlığı:
CVE-2023-28252-Windows Ortak Günlük Dosyası Sistemi Sürücüsü Ayrıcalık Yüksekliği Güvenlik Açığı
Microsoft, Windows CLFS sürücüsünde, ayrıcalıkları Windows'taki en yüksek kullanıcı ayrıcalık seviyesi olan sisteme yükselten bir ayrıcalık yükseklik güvenlik açığı düzeltti.
Microsoft'un danışmanlığı, "Bu güvenlik açığını başarıyla kullanan bir saldırgan, sistem ayrıcalıkları kazanabilir."
Microsoft, güvenlik açığının Maniant ile Genwei Jiang ve Dbappsecurity Webin Lab ile Quan Jin tarafından keşfedildiğini söylüyor.
Ancak Kaspersky, Nokoyawa fidye yazılımı saldırılarında sömürüldüğünü gördükten sonra Microsoft'a CVE-2023-28252 güvenlik açığını keşfettiklerini ve bildirdiklerini söyledi.
Aktif olarak kullanılmamış olsa da, Microsoft Office, Word ve Publisher uzaktan kod yürütme güvenlik açıkları bugün, sadece kötü niyetli belgeler açarak kullanılabilen güvenlik açıkları düzeltildi.
Bu güvenlik açıkları CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 ve CVE-2023-28311 olarak izlenir.
Bu tür güvenlik açıkları kimlik avı kampanyalarında değerli olduğundan, tehdit aktörleri muhtemelen kötü amaçlı yazılım dağıtım kampanyalarında kullanım için nasıl kullanılabileceklerini keşfetmeye çalışacaktır.
Bu nedenle, Microsoft Office kullanıcılarının bugünün güvenlik güncellemelerini mümkün olan en kısa sürede yüklemesi şiddetle tavsiye edilir.
Nisan 2023'te güncellemeler yayınlayan diğer satıcılar şunları içerir:
Aşağıda, Nisan 2023 Yaması Salı güncellemelerinde çözülmüş güvenlik açıklarının tam listesi bulunmaktadır.
Her güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını buradan görüntüleyebilirsiniz.
Microsoft Mart 2023 Patch Salı 2 sıfır gün, 83 kusur düzeltiyor
Microsoft Şubat 2023 Patch Salı Düzeltmeleri 3 Sökücü Sıfır Günleri, 77 Kusur
Microsoft, Intel CPU Kusurları için Windows Güvenlik Güncellemelerini Sürdürür
Windows 10 KB5022834 ve KB5022840 Güncellemeleri Serbest
Windows 10 KB5025221 ve KB5025229 Güncellemeler yayınlandı
Kaynak: Bleeping Computer