Microsoft her ayın ilk salı günleri yayınladığı (Tuesday Patch) güvenlik yamalarını Şubat ayı için de dün yayınladı. Firma, Şubat 2023 Salı güncellemesi ile birlikte birçok ürününde bulunan toplam 75 güvenlik açığı için güncelleme paylaştı.
Güncelleme, aktif olarak istismar edilen üç zero-day zafiyeti dahil olmak üzere 75 zafiyeti kapsıyor. Yayınlanan 9 güvenlik açığı remote-code-execution (RCE) saldırılarına izin vermesi nedeniyle kritik olarak sınıflandırıldı. Aktif olarak İstismar edilen üç zero day güvenlik açığı ise CVE-2023-21715, CVE-2023-21823 ve CVE-2023-23376 olarak tanımlandı.
CVE-2023-21715 zero-day zafiyetinin CVSS skoru 7.3 olarak belirlendi.
Microsoft zafiyetle ilgili “Saldırının kendisi, hedeflenen sistemde kimlik doğrulaması olan bir kullanıcı tarafından yerel olarak gerçekleştirilir. Tehdit aktörü, kurbanı sosyal mühendislik yoluyla bir web sitesinden özel hazırlanmış bir dosyayı indirip açmaya ikna ederek bu güvenlik açığından yararlanabilir ve bu da kurbanın bilgisayarında zararlı erişime sebebiyet verebilir.” dedi.
İkinci zero-day zafiyetinin CVSS skoru 7.8 olarak belirlendi.
Microsoft zafiyetle ilgili “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sistem ayrıcalıkları elde edebilir.” dedi.
Üçüncü zero-day zafiyetinin CVSS skoru ise 7.8 olarak belirlendi.
Microsoft bu zafiyet için CVE-2023-21823’de olduğu gibi “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, sistem ayrıcalıkları elde edebilir.” dedi.
Kritik olarak sınıflandırılan 9 remote-code-execution (RCE) zafiyetleri ise şu şekilde:
Microsoft Şubat 2023 Salı güncellemesinin tam listesine buradan ulaşabilirsiniz. Müşterilerimizin bu zafiyetlerden olumsuz etkilenmemesi adına güncellemeleri ivedilikle devreye almasını tavsiye ederiz.