Microsoft’un Aralık 2023 Salı günü yaması ile AMD CPU’larında toplam 34 kusura ve daha önce açıklanan, yama yapılmamış bir güvenlik açığına yönelik güvenlik güncellemelerini içeriyor.
Sekiz uzaktan kod yürütme (RCE) hatası düzeltilirken, Microsoft yalnızca üçünü kritik olarak derecelendirdi. Biri Power Platform’da (Spoofing), ikisi Internet Bağlantı Paylaşımı’nda (RCE) ve biri Windows MSHTML Platformu’nda (RCE) olmak üzere toplamda dört kritik güvenlik açığı vardı.
Her bir güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
- 10 Ayrıcalık Güvenlik Açıklarının Yükselmesi
- 8 Uzaktan Kod Yürütme Güvenlik Açıkları
- 6 Bilgi İfşası Güvenlik Açıkları
- 5 Hizmet Reddi Güvenlik Açıkları
- 5 Sahtecilik Güvenlik Açığı
Toplam 34 kusur sayısı, 7 Aralık’ta düzeltilen 8 Microsoft Edge kusurunu içermiyor.
Bugün yayımlanan güvenlikle ilgili olmayan güncelleştirmeler hakkında daha fazla bilgi edinmek için yeni Windows 11 KB5033375 toplu güncelleştirmesi ve Windows 10 KB5033372 toplu güncelleştirmesi hakkındaki özel makalelerimizi inceleyebilirsiniz .
Kamuoyuna açıklanan bir Zero Day düzelmesi
Bu ayın Salı Yaması, Ağustos ayında açıklanan ve daha önce yama yapılmadan kalan bir AMD zero day güvenlik açığını gideriyor.
‘ CVE-2023-20588 – AMD: CVE-2023-20588 AMD Spekülatif Sızıntıları ‘ güvenlik açığı, belirli AMD işlemcilerinde bulunan ve potansiyel olarak hassas verileri döndürebilecek sıfıra bölme hatasıdır.
Kusur, Ağustos 2023’te AMD’nin aşağıdaki hafifletme önerileri dışında herhangi bir düzeltme sunulmadı.
CVE-2023-20588 tarihli bir AMD bülteninde “Etkilenen ürünler için AMD, yazılım geliştirmedeki en iyi uygulamaların kullanılmasını öneriyor” ifadesine yer veriliyor .
“Geliştiriciler, ayrıcalık sınırlarını değiştirmeden önce bölüm operasyonlarında hiçbir ayrıcalıklı verinin kullanılmamasını sağlayarak bu sorunu hafifletebilir. AMD, yerel erişim gerektirdiğinden bu güvenlik açığının potansiyel etkisinin düşük olduğuna inanıyor.”
Aralık Salı Yaması güncellemelerinin bir parçası olarak Microsoft, etkilenen AMD işlemcilerdeki bu hatayı çözen bir güvenlik güncellemesi yayınladı.
Diğer şirketlerin son güncellemeleri
Aralık 2023’te güncelleme veya öneri yayınlayan diğer sağlayıcılar arasında şunlar yer almaktadır:
- 5Ghoul saldırısı Qualcomm, MediaTek çipli 5G telefonlarda hizmet kesintilerine neden olabilir
- Atlassian , Confluence, Jira ve Bitbucket’teki dört kritik uzaktan kod yürütme (RCE) hatası için güvenlik güncellemeleri yayınladı .
- Apple, eski iPhone’lara ve bazı Apple Watch ve Apple TV modellerine son zero day yamalarını destekledi .
- Cisco, IP adresi sahtekarlığına izin veren bir Cisco ASA ve Firepower kusuru için güvenlik güncellemeleri yayınladı .
- Google, kritik zero day düzeltmesini içeren Android Aralık 2023 güvenlik güncellemelerini yayınladı .
- SAP Aralık 2023 Yama Günü güncellemelerini yayınladı .
- Sierra Wireless, Sierra OT/IoT yönlendiricilerini etkileyen 21 kusur için güvenlik danışmanlarını yayınladı .
- SLAM yan kanal saldırısı, Intel, AMD ve Arm CPU’ların gelecek CPU’larından hassas verileri çalıyor.
- VMware, Cloud Director’da kritik bir kimlik doğrulama atlamasını düzeltti .
- WordPress, RCE saldırılarına yol açabilecek bir POP zincirini düzeltti .
Aralık 2023 Salı Yaması Güvenlik Güncellemeleri
Aşağıda Aralık 2023 Salı Yaması güncellemelerinde giderilen güvenlik açıklarının tam listesi bulunmaktadır.
Her bir güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını buradan görüntüleyebilirsiniz .
| Etiket | CVE Kimliği | CVE Başlığı | Şiddet |
|---|---|---|---|
| Azure Bağlı Makine Aracısı | CVE-2023-35624 | Azure Bağlı Makine Aracısında Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Azure Makine Öğrenimi | CVE-2023-35625 | SDK Kullanıcıları için Azure Machine Learning İşlem Örneği Bilgilerin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Yonga setleri | CVE-2023-20588 | AMD: CVE-2023-20588 AMD Spekülatif Sızıntılar Güvenlik Bildirimi | Önemli |
| Microsoft Bluetooth Sürücüsü | CVE-2023-35634 | Windows Bluetooth Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Microsoft Dinamikleri | CVE-2023-35621 | Microsoft Dynamics 365 Finance and Operations Hizmet Reddi Güvenlik Açığı | Önemli |
| Microsoft Dinamikleri | CVE-2023-36020 | Microsoft Dynamics 365 (şirket içi) Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı | Önemli |
| Microsoft Edge (Krom tabanlı) | CVE-2023-35618 | Microsoft Edge (Chromium tabanlı) Ayrıcalık Yükselmesi Güvenlik Açığı | Ilıman |
| Microsoft Edge (Krom tabanlı) | CVE-2023-36880 | Microsoft Edge (Chromium tabanlı) Bilginin İfşa Edilmesi Güvenlik Açığı | Düşük |
| Microsoft Edge (Krom tabanlı) | CVE-2023-38174 | Microsoft Edge (Chromium tabanlı) Bilginin İfşa Edilmesi Güvenlik Açığı | Düşük |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6509 | Krom: CVE-2023-6509 Yan Panel Aramasında ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6512 | Chromium: CVE-2023-6512 Web Tarayıcısı kullanıcı arayüzünde uygunsuz uygulama | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6508 | Chromium: CVE-2023-6508 Medya Akışında ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6511 | Chromium: CVE-2023-6511 Otomatik Doldurmada uygunsuz uygulama | Bilinmeyen |
| Microsoft Edge (Krom tabanlı) | CVE-2023-6510 | Chromium: CVE-2023-6510 Media Capture’da ücretsiz olarak kullanın | Bilinmeyen |
| Microsoft Office Outlook’u | CVE-2023-35636 | Microsoft Outlook’ta Bilginin Açığa Çıkması Güvenlik Açığı | Önemli |
| Microsoft Office Outlook’u | CVE-2023-35619 | Mac için Microsoft Outlook’ta Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Microsoft Ofis Word’ü | CVE-2023-36009 | Microsoft Word’de Bilginin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Microsoft Güç Platformu Bağlayıcısı | CVE-2023-36019 | Microsoft Power Platform Bağlayıcı Kimlik Sahtekarlığı Güvenlik Açığı | Kritik |
| SQL için Microsoft WDAC OLE DB sağlayıcısı | CVE-2023-36006 | SQL Server Uzaktan Kod Yürütme Güvenlik Açığı için Microsoft WDAC OLE DB sağlayıcısı | Önemli |
| Microsoft Windows DNS’i | CVE-2023-35622 | Windows DNS Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Windows Bulut Dosyaları Mini Filtre Sürücüsü | CVE-2023-36696 | Windows Cloud Files Mini Filtre Sürücüsünde Ayrıcalık Yükselişi Güvenlik Açığı | Önemli |
| Windows Defender’ı | CVE-2023-36010 | Microsoft Defender Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-35643 | DHCP Sunucusu Hizmeti Bilgilerinin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-35638 | DHCP Sunucusu Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows DHCP Sunucusu | CVE-2023-36012 | DHCP Sunucusu Hizmeti Bilgilerinin İfşa Edilmesi Güvenlik Açığı | Önemli |
| Windows DPAPI (Veri Koruma Uygulama Programlama Arayüzü) | CVE-2023-36004 | Windows DPAPI (Veri Koruma Uygulama Programlama Arayüzü) Kimlik Sahtekarlığı Güvenlik Açığı | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35642 | İnternet Bağlantı Paylaşımı (ICS) Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35630 | İnternet Bağlantı Paylaşımı (ICS) Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35632 | WinSock’ta Ayrıcalık Yükselmesi Güvenlik Açığı için Windows Yardımcı İşlev Sürücüsü | Önemli |
| Windows İnternet Bağlantı Paylaşımı (ICS) | CVE-2023-35641 | İnternet Bağlantı Paylaşımı (ICS) Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows Çekirdeği | CVE-2023-35633 | Windows Çekirdeğinde Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows Çekirdeği | CVE-2023-35635 | Windows Çekirdeğinde Hizmet Reddi Güvenlik Açığı | Önemli |
| Windows Çekirdek Modu Sürücüleri | CVE-2023-35644 | Windows Sysmain Hizmeti Ayrıcalığının Yükselmesi | Önemli |
| Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) | CVE-2023-36391 | Yerel Güvenlik Yetkilisi Alt Sistemi Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows media | CVE-2023-21740 | Windows Media Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows MSHTML Platformu | CVE-2023-35628 | Windows MSHTML Platformunda Uzaktan Kod Yürütme Güvenlik Açığı | Kritik |
| Windows ODBC Sürücüsü | CVE-2023-35639 | Microsoft ODBC Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows Telefon Sunucusu | CVE-2023-36005 | Windows Telefon Sunucusunda Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows USB Yığın Depolama Sınıfı Sürücüsü | CVE-2023-35629 | Microsoft USBHUB 3.0 Aygıt Sürücüsünde Uzaktan Kod Yürütme Güvenlik Açığı | Önemli |
| Windows Win32K | CVE-2023-36011 | Win32k’de Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| Windows Win32K | CVE-2023-35631 | Win32k’de Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |
| XAML Tanılaması | CVE-2023-36003 | XAML Tanılamasında Ayrıcalık Yükselmesi Güvenlik Açığı | Önemli |