Eylül 2021 Salı Microsoft Yaması – MSHTML’deki uzaktan kod yürütme kusurları, OMI düzeltildi

Bu ay 86 güvenlik açığı için yama aldık. Bunlardan 3’ü kritik, 1 güvenlik açığı (MSHTML Güvenlik Açığı) daha önce açıklandı ve Microsoft’a göre yapılıyor.

Beklendiği gibi Microsoft, MSHTML’yi etkileyen ve bir saldırganın etkilenen bir sistemde uzak kod yürütmesine izin verebilecek sıfır gün ( CVE-2021-40444 ) düzeltme ekini yayımladı . Danışma belgesine göre, bir saldırgan, tarayıcı oluşturma motorunu barındıran bir Microsoft Office belgesi tarafından kullanılmak üzere kötü amaçlı bir ActiveX denetimi oluşturabilir. Saldırganın daha sonra kullanıcıyı kötü amaçlı belgeyi açmaya ikna etmesi gerekir. Bu güvenlik açığının CVSS’si 8.80’dir (10 üzerinden).

Ayrıca Microsoft Açık Yönetim Altyapısındaki ( CVE-2021-38647 ) kritik bir güvenlik açığı da not edilmelidir . Microsoft tarafından yönetilen bu açık kaynaklı proje, web tabanlı kurumsal yönetim standartlarını uygular ve güvenlik açığı uzaktan kod yürütme için kullanılabilir. Bu güvenlik açığının CVSS’si 9.80’dir.

Son olarak, Windows WLAN Otomatik Yapılandırma Hizmetini etkileyen bir uzaktan kod yürütmesi düzeltildi ( CVE-2021-36965 ). Danışma belgesine göre, bu güvenlik açığı neredeyse tüm desteklenen Windows sürümlerini etkiler, bitişik bir ağdaki bir saldırgan tarafından kullanılabilir, ayrıcalık ve kullanıcı etkileşimi gerektirmez. Bu güvenlik açığının CVSS’si 8.80’dir.

Daha ayrıntılı bir ara için kontrol panelime bakın: https://patchtuesdaydashboard.com/

Eylül 2021 Güvenlik Güncellemeleri

Açıklama
CVE ifşa Sömürülen Kullanılabilirlik (eski sürümler) şimdiki versiyonu önem CVSS Tabanı (AVG) CVSS Geçici (AVG)
Azure Sphere Bilginin Açığa Çıkması Güvenlik Açığı
CVE-2021-36956 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 4.4 4.0
BitLocker Güvenlik Özelliği Güvenlik Açığını Atlama
CVE-2021-38632 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.7 5.0
Chromium: CVE-2021-30606 Ücretsiz kullanımdan sonra Blink’te kullanın
CVE-2021-30606 Numara Numara – – –
Chromium: CVE-2021-30607 İzinlerde ücretsiz olduktan sonra kullanın
CVE-2021-30607 Numara Numara – – –
Chromium: CVE-2021-30608 Web Paylaşımı’nda ücretsiz kullanımdan sonra kullanın
CVE-2021-30608 Numara Numara – – –
Chromium: CVE-2021-30609 Oturum Açtıktan sonra ücretsiz kullanın
CVE-2021-30609 Numara Numara – – –
Chromium: CVE-2021-30610 Extensions API’de ücretsiz kullanımdan sonra kullanın
CVE-2021-30610 Numara Numara – – –
Chromium: CVE-2021-30611 WebRTC’de ücretsiz kullanımdan sonra kullanın
CVE-2021-30611 Numara Numara – – –
Chromium: CVE-2021-30612 WebRTC’de ücretsiz kullanımdan sonra kullanın
CVE-2021-30612 Numara Numara – – –
Chromium: CVE-2021-30613 Base’de ücretsiz kullanımdan sonra kullanın
CVE-2021-30613 Numara Numara – – –
Chromium: CVE-2021-30614 TabStrip’te yığın arabelleği taşması
CVE-2021-30614 Numara Numara – – –
Chromium: CVE-2021-30615 Navigasyonda çapraz kaynaklı veri sızıntısı
CVE-2021-30615 Numara Numara – – –
Chromium: CVE-2021-30616 Medyada serbest kaldıktan sonra kullanın
CVE-2021-30616 Numara Numara – – –
Chromium: CVE-2021-30617 Blink’te politika atlama
CVE-2021-30617 Numara Numara – – –
Chromium: CVE-2021-30618 DevTools’ta uygunsuz uygulama
CVE-2021-30618 Numara Numara – – –
Chromium: Otomatik Doldurmada CVE-2021-30619 Kullanıcı Arayüzü Sahtekarlığı
CVE-2021-30619 Numara Numara – – –
Chromium: CVE-2021-30620 Blink’te yetersiz politika uygulaması
CVE-2021-30620 Numara Numara – – –
Chromium: Otomatik Doldurmada CVE-2021-30621 Kullanıcı Arayüzü Sahtekarlığı
CVE-2021-30621 Numara Numara – – –
Chromium: CVE-2021-30622 WebApp Yüklemelerinde ücretsiz kullanımdan sonra kullanın
CVE-2021-30622 Numara Numara – – –
Chromium: CVE-2021-30623 Yer İşaretlerinde ücretsiz kullanımdan sonra kullanın
CVE-2021-30623 Numara Numara – – –
Chromium: CVE-2021-30624 Otomatik Doldurma’da ücretsiz kullanımdan sonra kullanın
CVE-2021-30624 Numara Numara – – –
Chromium: CVE-2021-30632 V8’de sınırların dışında yazma
CVE-2021-30632 Numara Numara – – –
HEVC Video Uzantılarında Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38661 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Android’de Bilginin Açığa Çıkması Güvenlik Açığı için Microsoft Erişilebilirlik Öngörüleri
CVE-2021-40448 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.3 5.5
Microsoft Dynamics Business Central Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı
CVE-2021-40440 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.4 4.9
Microsoft Edge (Chromium tabanlı) Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-26436 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.1 5.3
CVE-2021-36930 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.3 4.6
Microsoft Edge (Chromium tabanlı) Kurcalama Güvenlik Açığı
CVE-2021-38669 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.4 5.6
Android için Microsoft Edge Bilgi İfşası Güvenlik Açığı
CVE-2021-26439 Numara Numara – – Ilıman 4.6 4.0
Android Kimlik Sahtekarlığı Güvenlik Açığı için Microsoft Edge
CVE-2021-38641 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.1 5.3
iOS Kimlik Sızdırması Güvenlik Açığı için Microsoft Edge
CVE-2021-38642 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.1 5.3
Microsoft Excel’de Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38655 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft MPEG-2 Video Uzantısı Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38644 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft MSHTML Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-40444 Evet Evet Saptanmış Saptanmış Önemli 8.8 7.9
Microsoft Office Access Bağlantı Altyapısı Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38646 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft Office Grafik Bileşeni Bilginin Açığa Çıkması Güvenlik Açığı
CVE-2021-38657 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.1 5.3
Microsoft Office Grafiklerinde Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38658 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38660 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft Office Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38659 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft Office Kimlik Sahtekarlığı Güvenlik Açığı
CVE-2021-38650 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.6 6.6
Microsoft Office Visio Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38653 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38654 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Microsoft SharePoint Server Sızdırması Güvenlik Açığı
CVE-2021-38651 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.6 6.6
CVE-2021-38652 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.6 6.6
Microsoft Windows Update İstemcisinde Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-38634 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.1 6.2
Microsoft Word Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38656 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Açık Yönetim Altyapısında Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-38645 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38648 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38649 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.0 6.1
Açık Yönetim Altyapısında Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-38647 Numara Numara Daha az ihtimalle Daha az ihtimalle kritik 9.8 8.5
Visual Studio Kod Sızdırması Güvenlik Açığı
CVE-2021-26437 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Visual Studio’da Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-26434 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Visual Studio Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-36952 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Win32k Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36975 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 6.8
CVE-2021-38639 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 6.8
WinSock’ta Ayrıcalık Yükselmesi Güvenlik Açığı için Windows Yardımcı İşlev Sürücüsü
CVE-2021-38628 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38638 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
WinSock Bilgi Açıklama Güvenlik Açığı için Windows Yardımcı İşlev Sürücüsü
CVE-2021-38629 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.5 5.7
Windows Authenticode Kimlik Sahtekarlığı Güvenlik Açığı
CVE-2021-36959 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Windows Bağlama Filtresi Sürücüsü Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36954 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 8.8 7.7
Windows Ortak Günlük Dosyası Sistemi Sürücüsü Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36955 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 7.2
CVE-2021-36963 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 6.8
CVE-2021-38633 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 6.8
Windows DNS Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36968 Evet Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows Olay İzleme Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36964 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38630 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows Installer Hizmet Reddi Güvenlik Açığı
CVE-2021-36961 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Windows Installer’da Bilginin Açığa Çıkması Güvenlik Açığı
CVE-2021-36962 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Windows Çekirdeğinde Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-38625 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
CVE-2021-38626 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows Anahtar Depolama Sağlayıcısı Güvenlik Özelliği Güvenlik Açığını Atlama
CVE-2021-38624 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 6.5 5.7
Windows Yazdırma Biriktiricisinde Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-38667 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 7.2
CVE-2021-38671 Numara Numara Büyük olasılıkla Büyük olasılıkla Önemli 7.8 7.2
CVE-2021-40447 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 7.2
Windows Yeniden Yönlendirilen Sürücü Arabelleğe Alma Alt Sistemi Sürücü Bilgilerinin Açığa Çıkması Güvenlik Açığı
CVE-2021-36969 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
CVE-2021-38635 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
CVE-2021-38636 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Windows Yeniden Yönlendirilen Sürücü Arabelleğe Alma Sistemi Ayrıcalık Yükseltmesi Güvenlik Açığı
CVE-2021-36973 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows SMB’de Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36974 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows KOBİ Bilgilerinin Açığa Çıkması Güvenlik Açığı
CVE-2021-36960 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.5 6.5
CVE-2021-36972 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Windows Komut Dosyası Motoru Bellek Bozulması Güvenlik Açığı
CVE-2021-26435 Numara Numara Daha az ihtimalle Daha az ihtimalle kritik 8.1 7.1
Windows Depolama Bilgilerinin Açığa Çıkması Güvenlik Açığı
CVE-2021-38637 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 5.5 4.8
Linux’ta Ayrıcalık Yükselmesi Güvenlik Açığı için Windows Alt Sistemi
CVE-2021-36966 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 7.8 6.8
Windows WLAN Otomatik Yapılandırma Hizmeti Ayrıcalık Yükselmesi Güvenlik Açığı
CVE-2021-36967 Numara Numara Daha az ihtimalle Daha az ihtimalle Önemli 8.0 7.0
Windows WLAN Otomatik Yapılandırma Hizmeti Uzaktan Kod Yürütme Güvenlik Açığı
CVE-2021-36965 Numara Numara Daha az ihtimalle Daha az ihtimalle kritik 8.8 7.7

Metnin aslına ulaşmak için:

https://isc.sans.edu/forums/diary/Microsoft+September+2021+Patch+Tuesday/27834/