Microsoft 80 güvenlik açığını düzeltti – güvenlik

Olağan hata düzeltmeleri Salı günü Microsoft'un Yaması'na geldi; toplam 80 güvenlik açığı bulunuyor; bunların ikisi aktif olarak kullanılıyor ve birkaç kritik düzeyde hata var.

İstismar edilen güvenlik açıkları CVE-2024-21412 (CVSS puanı 8,1) f CVE-2024-21351 (CVSS puanı 7,6).

CVE-2024-21412, bir saldırganın kullanıcıyı kötü amaçlı bir dosyayı açması için kandırabilmesi (örneğin kimlik avı saldırısı yoluyla) durumunda Microsoft'un İnternet Kısayol Dosyası güvenlik özelliğini atlar; CVE-2024-21351 ise yine kurbanın kötü amaçlı bir dosyayı açmasını sağlayarak Windows SmartScreen güvenliğini atlıyor.

Kritik güvenlik açıkları arasında CVE-2024-21380, CVE-2024-21410 ve CVE-2024-21413 bulunmaktadır.

CVE-2024-21380 Dynamics Business Central'daki (eski adıyla Dynamics NAV) bir bilginin açığa çıkması güvenlik açığıdır.

Bir kurban kötü amaçlı bir bağlantıya tıklarsa, kimliği doğrulanmış bir saldırgan, “saldırganın diğer kiracının uygulamaları ve içeriğiyle etkileşim kurma yeteneği kazanmasıyla sonuçlanabilecek” bir yarış durumunu tetikleyebilir.

CVE-2024-21410 Bu, Microsoft Exchange Server'da, bir saldırganın sızdırılan kullanıcı kimlik bilgilerini kullanarak kimlik doğrulaması yapmasına olanak tanıyan NTLM kimlik bilgisi sızıntısı nedeniyle ortaya çıkan, ciddi bir ayrıcalık artışı güvenlik açığıdır.

CVE-2024-21413 Bu, Outlook'ta bulunan ve Office 2016'ya kadar uzanan bir uzaktan kod yürütme (RCE) güvenlik açığıdır.

Microsoft, bu açıktan yararlanmanın “bir saldırganın korumalı Office görünümünü atlamasına ve korumalı mod yerine düzenleme modunda açmasına izin vereceğini” ve önizleme bölmesi aracılığıyla saldırıya açık olduğunu söyledi.