Microsoft Çarşamba akşamı dört güvenlik önerisi yayınladı. Bunlardan bazıları, Microsoft geliştiricilerinin güncelleme sağladığı kritik güvenlik açıklarına yöneliktir. Bazı kullanıcıların kendilerini yüklemesi gerekiyor, diğerleri ise zaten Microsoft tarafından bulut hizmetlerine dağıtılmış durumda.
Duyuru
Kritik bir güvenlik açığı Microsoft'un Copilot Studio'sunu etkiliyor. Saldırganların ayrıcalıklarını yükseltmelerine izin verildi (CVE-2024-49038, CVSS 9.3“Risk”eleştirmen“). Bunun nedeni, web sitesi oluşturulurken kullanıcı girişinin yetersiz filtrelenmesidir; Microsoft, kusuru Siteler Arası Komut Dosyası Çalıştırma olarak sınıflandırır. Bu, yetkisiz İnternet saldırganlarının haklarını genişletmesine olanak tanır. Müşterilerin sorunu ortadan kaldırmak için herhangi bir işlem yapmasına gerek yoktur.
Bir boşluk zaten kötüye kullanıldı
Microsoft, güvenlik açığı girişinde “partner.microsoft.com” teklifindeki bir güvenlik açığının zaten kötüye kullanıldığını açıklıyor. Ağ saldırganları, erişim hakları doğru şekilde uygulanmadığından, önceden kimlik doğrulaması yapmadan ayrıcalıklarını yükseltebilir (CVE-2024-49035, CVSS) 8.7, yüksek). Sorun özellikle Microsoft Power Apps'in çevrimiçi sürümünde ortaya çıktı. Ancak CVSS sınıflandırmasının aksine Microsoft, açığı kritik olarak sınıflandırıyor. Ayrıca bu durumda müşterilerin başka bir şey yapmasına gerek kalmıyor; Microsoft, sunucu tarafındaki sorunu düzeltti.
Microsoft Azure PolicyWatch'ta ağ saldırganları, belirtilmemiş bir kritik işlevin kimlik doğrulamasından yoksun olması nedeniyle yetkilendirme olmadan ayrıcalıkları yükseltebildi (CVE-2024-49052, CVSS) 8.2, yüksek). Bu durumda bile Microsoft geliştiricileri riski kritik olarak sınıflandırıyor. Sonuçta müşterilerin başka bir şey yapmasına gerek yok; düzeltmeler Microsoft tarafından sunucu tarafında yapılır.
Dördüncü güvenlik açığı Microsoft Dynamics 365 Sales kurumsal yazılımını etkiliyor. Saldırganlar buradaki sahte deliği kötüye kullanabilir. Microsoft'un güvenlik danışma belgesi SSS'sinde, kimliği doğrulanmış saldırganların kurbanlara, onları kötü amaçlı web sitelerine yönlendirmek gibi manipüle edilmiş bağlantılar sağlayabileceği açıklanmaktadır. Güvenlik açığı web sunucusunda bulunur, ancak kötü amaçlı komut dosyaları kurbanın tarayıcısında, bilgisayarında yürütülür: bu nedenle özetle, web siteleri oluştururken kullanıcı girişinin yetersiz filtrelenmesi, siteler arası komut dosyası oluşturma amacıyla kullanılabilir (CVE-2024-49053) , CVSS 7.6, yüksek). iOS için Dynamics 365 Sales ve Android için Dynamics 365 Sales uygulamaları, 3.24104.15 sürümünden itibaren artık savunmasız değildir; Gerekirse kullanıcılar, ilgili akıllı telefon işletim sistemlerinin mağazalarındaki güncellemeleri kontrol etmelidir.
Normal Patchday 13 Kasım gecesi ve onu takip eden 11 Aralık gecesi gerçekleşti. Görünüşe göre Microsoft, güvenlik güncellemelerini o kadar acil buldu ki şirket bunları uyguladı ve normal programın dışında yayınladı.
(Bilmiyorum)
Bir yanıt yazın