Tatil sezonu neredeyse bitti, ancak güvenlik güncellemeleri Aralık ayında hala yoğun ve hızlı bir şekilde gelmeye devam ediyor. Bu ay Apple, Google ve Microsoft’un yanı sıra SAP, Citrix ve VMWare gibi kurumsal yazılım şirketleri tarafından yayınlanan güncellemeler görüldü.
Yamaların çoğu, saldırılarda zaten istismar edilen sıfır gün güvenlik açıklarını düzeltir ve mümkün olan en kısa sürede uygulanmalarını önemli kılar. İşte Aralık ayında yayınlanan tüm yamaların özeti.
Apple iOS ve iPadOS 16.2, iOS 15.7.2, iOS 16.1.2
Apple, Aralık ayında iOS 16 işletim sistemine önemli bir nokta yükseltmesi yayınladı: iOS 16.2. Güncelleme, iCloud’da uçtan uca şifreleme gibi özelliklerle birlikte geliyor, ancak 35 güvenlik açığını da düzeltiyor.
iOS 16.2’de düzeltilen sorunların hiçbirinin saldırılarda kullanıldığı bilinmemektedir; Ancak, birçoğu oldukça ciddi. Kusurlar, çekirdekte altı ve Apple’ın Safari tarayıcısı WebKit’e güç veren motorda dokuz tane bulunur ve bu da bir saldırganın kod yürütmesine izin verebilir.
Apple ayrıca, iOS 16’yı çalıştıramayan eski iPhone kullanıcıları için iOS 15.7.2’yi piyasaya sürdü ve saldırılarda zaten kullanılan bir hatayı düzeltti. CVE-2022-42856 olarak izlenen WebKit güvenlik açığı, Apple’ın destek sayfasına göre bir saldırganın kod yürütmesine izin verebilir. Kasım ayının sonlarında Apple, iOS 16.1.2’de aynı WebKit hatasını düzeltti.
Eylül ayında iOS 16’nın piyasaya sürülmesinden bu yana Apple, yeni işletim sistemine yükseltmek istemeyenler için güvenlik güncellemeleri sundu. Ancak iOS 15.7.2 yalnızca eski iPhone’lar içindir, bu nedenle iPhone 8 veya sonraki bir modeliniz varsa, şimdi güvende kalmak için iOS 16’ya yükseltin.
İPhone üreticisi ayrıca macOS Ventura 13.1, watchOS 9.2, tvOS 16.2, macOS Big Sur 11.7.2, macOS Monterey 12.6.2 ve Safari 16.2’yi piyasaya sürdü.
Google Android
Aralık, Google’ın Android işletim sistemi için ağır bir yama ayıydı ve ay boyunca düzinelerce güvenlik açığı için düzeltmeler yapıldı. Google, bir güvenlik bülteninde CVE-2022-20411 olarak izlenen en ciddi olanı, sistem bileşeninde, ek yürütme ayrıcalıklarına ihtiyaç duymadan Bluetooth üzerinden uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığıdır.
Google ayrıca Android Framework bileşenindeki CVE-2022-20472 ve CVE-2022-20473 adlı iki kritik kusuru düzeltti. Bu arada, Aralık ayında Google tarafından 151 Pixel’e özgü hata düzeltildi.
Aralık yaması, Google’ın kendi Pixel cihazlarının yanı sıra donanım üreticisinin amiral gemisi Galaxy serisi de dahil olmak üzere Samsung akıllı telefonlar için kullanılabilir.
Google Chrome 108 Çözümleri
Google, yılın dokuzuncu sıfır gün güvenlik açığını düzeltmek için Chrome tarayıcısında acil bir güncelleme yayınladı. CVE-2022-4262 olarak izlenen Chrome’un V8 JavaScript motorundaki ciddi karışıklık sorunu, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına izin verebilir. Tarayıcı üreticisi bir blogda “Google, CVE-2022-4262 için bir istismarın vahşi doğada var olduğunun farkında” dedi.
Acil durum güncellemesi, Google’ın Chrome 108’i piyasaya sürmesinden sadece birkaç gün sonra geldi ve 28 güvenlik açığını düzeltti. Düzeltmeler arasında CVE-2022-4174 – V8’de bir tür karışıklık hatası – ve çok sayıda kullanılmayan hata bulunmaktadır. Google’a göre, bu güvenlik açıklarının hiçbiri saldırılarda kullanılmadı. Ancak, en son hatanın zaten saldırganların elinde olduğu göz önüne alındığında, Chrome’u mümkün olan en kısa sürede güncellemek iyi bir fikirdir.
Microsoft Patch Salı
Microsoft’un Salı günkü Aralık Yaması, saldırılarda kullanılan bir hata da dahil olmak üzere 49 güvenlik açığını düzelten bir başka büyük yamaydı. CVE-2022-44698 olarak izlenen sorun, bütünlük ve kullanılabilirlik kaybına neden olabilecek bir Windows SmartScreen güvenlik özelliğini atlama güvenlik açığıdır.
Microsoft, “Bir saldırgan, Web İşareti (MOTW) savunmalarından kaçacak kötü amaçlı bir dosya oluşturabilir ve bu da MOTW etiketlemesine dayanan Microsoft Office’teki Korumalı Görünüm gibi güvenlik özelliklerinin bütünlüğünün ve kullanılabilirliğinin sınırlı bir şekilde kaybolmasına neden olabilir” dedi.