Microsoft tarafından her ayın ikinci salı günü yayınlanan güvenlik güncelleştirmeleri dün açıklandı. Bu ay 129 farklı güvenlik zafiyeti için yama yayınlandı. Güvenlik zafiyeti yamalanan ürünler şunlar:
- Microsoft Windows
- Microsoft Edge (EdgeHTML-based)
- Microsoft Edge (Chromium-based)
- Microsoft ChakraCore
- Internet Explorer
- SQL Server
- Microsoft JET Database Engine
- Microsoft Office and Microsoft Office Services and Web Apps
- Microsoft Dynamics
- Visual Studio
- Microsoft Exchange Server
- SQL Server
- ASP.NET
- Microsoft OneDrive
- Azure DevOps
Yayınlanan 129 güvenlik açığından Windows, Web Tarayıcıları, Dynamics 365, SharePoint, Exchange ve Visual Studio’yu etkileyen 23 tanesi kritik önem derecesine sahiptir.
Microsoft Exchange Server için bulunan CVE-2020-16875 zafiyeti 9.1 CVSS skoruna sahip önemli bir zafiyet içeriyor.
Microsoft Exchange sunucusunda cmdlet bağımsız değişkenlerinin hatalı doğrulanması nedeniyle bir uzaktan kod yürütme güvenlik açığı bulunmaktadır.
Güvenlik açığından başarıyla yararlanan bir saldırgan, Sistem kullanıcısı bağlamında rastgele kod çalıştırabilir. Güvenlik açığından yararlanılması, belirli bir Exchange rolündeki kimliği doğrulanmış bir kullanıcının güvenliğinin ihlal edilmesini gerektirir.
Güvenlik güncelleştirmesi, Microsoft Exchange’in cmdlet bağımsız değişkenlerini işleme biçimini düzelterek bu güvenlik açığını giderir.
Microsoft, güvenlik açıklarından hiçbirinin saldırılarda kötüye kullanılmadığını veya yamalar yayınlanmadan önce halka açıklanmadığını söyledi.
Son aylarda Microsoft rekor sayıda güvenlik güncelleştirmeleri yayınlıyor. Geçen ay da 120 güvenlik açığı giderilmişti. Son 7 aydır Microsoft tarafından yamalanan güvenlik açığı aylık 100’ün altına hiç düşmedi.