Toplam 71 yamadan üçü Kritik ve 68'i önem açısından Önemli olarak derecelendirilmiştir. Güvenlik açıklarından hiçbiri aktif olarak yararlanılmış olarak listelenmese de, üçü yayın sırasında herkes tarafından biliniyor.
Microsoft'un bu ayın başlarında Chromium tabanlı Microsoft Edge tarayıcısındaki 21 kusuru ayrı ayrı ele aldığını belirtmekte fayda var.
Bu ay giderilen üç kritik güvenlik açığının tümü, HEVC Video Uzantılarını (CVE-2022-22006), Microsoft Exchange Server'ı (CVE-2022-23277) ve VP9 Video Uzantılarını (CVE-2022-24501) etkileyen uzaktan kod yürütme kusurlarıdır.
Araştırmacı Markus Wulftange tarafından raporlanan Microsoft Exchange Server güvenlik açığı, sunucudan yararlanabilmek için saldırganın kimliğinin doğrulanmasını gerektirmesiyle de dikkat çekiyor.
Windows üreticisi, "Bu güvenlik açığının saldırganı, rastgele veya uzaktan kod yürütmede sunucu hesaplarını hedefleyebilir" dedi. "Kimliği doğrulanmış bir kullanıcı olarak, saldırgan, bir ağ çağrısı yoluyla sunucu hesabı bağlamında kötü amaçlı kodu tetiklemeye çalışabilir."
Immersive Labs siber tehdit araştırması direktörü Kevin Breen, "Kritik güvenlik açığı CVE-2022-23277 de bir endişe kaynağı olmalıdır" dedi. "Kimlik doğrulaması gerektirse de, şirket içi Exchange sunucularını etkileyen bu güvenlik açığı, iş e-postası güvenliği veya e-postadan veri hırsızlığı fırsatı sunan ortamın bir bölümüne yanal hareket sırasında potansiyel olarak kullanılabilir."
Microsoft tarafından düzeltilen üç sıfır gün hatası aşağıdaki gibidir:
CVE-2022-24512 (CVSS puanı: 6.3) - .NET ve Visual Studio Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2022-21990 (CVSS puanı: 8.8) - Uzak Masaüstü İstemcisinde Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2022-24459 (CVSS puanı: 7.8) - Windows Faks ve Tarama Hizmetinde Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft ayrıca, bir kavram kanıtı (PoC) açığının herkese açık olması nedeniyle CVE-2022-21990'ı "İstismar Daha Muhtemel" olarak etiketleyerek, olası saldırılardan kaçınmak için güncellemelerin mümkün olan en kısa sürede uygulanmasını çok önemli hale getirdi.
Diğer önemli kusurlar, Windows SMBv3 İstemci/Sunucu, Microsoft Office ve Paint 3D'deki bir dizi uzaktan kod yürütme kusurunun yanı sıra Xbox Live Auth Manager, IoT için Microsoft Defender ve Azure Site Recovery'deki ayrıcalık yükseltme kusurlarıdır.
Toplamda, yamalar 29 uzaktan kod yürütme güvenlik açığını, 25 ayrıcalık yükselmesi güvenlik açığını, altı bilginin açığa çıkması güvenlik açığını, dört hizmet reddi güvenlik açığını, üç güvenlik özelliği atlama güvenlik açığını, üç kimlik sahtekarlığı güvenlik açığını ve bir kurcalama güvenlik açığını kapatır.
Diğer Satıcılardan Yazılım Yamaları
Microsoft'a ek olarak, çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından güvenlik güncelleştirmeleri de yayımlanmıştır:
Adobe
Android
Cisco
Citrix
HP
Intel
Juniper Networks
Linux dağıtımları Oracle Linux, Red Hat ve SUSE
Mozilla Firefox ve Firefox ESR
SAP
Schneider Electric ve