Microsoft’tan Yılın Son Yama Salısı (21.12.2016)
Bu yılın son yama Salısı, yarısı uzaktan kod çalıştırmaya olanak tanıyan kritik seviyede olmak üzere, 12 güvenlik bülteni ile yayınlandı.
Güvenlik bültenleri Microsoft Windows, Office, Internet Explorer ve Edge ürünlerindeki zafiyetleri adresliyor.
İlk kritik güvenlik bülteni MS16-144, Internet Explorer’daki 8 güvenlik açıklığını kapatıyor. Bunlardan 3 tanesi açığa çıkmış ancak kullanılmaya başlanmamıştı.
Bu 3 açıklık, CVE-2016-7282 numaralı IE bilgi açığa çıkartma, CVE-2016-7281 numaralı IE güvenlik özelliğini ekarte etme ve CVE-2016-7202 numaralı IE betik motoru bellek bozulması açıklıklarından oluşuyor.
Geri kalan 5 güvenlik zafiyeti ise, 1 betik motoru bellek bozulması, iki bellek bozulması, 1 bilgi açığa çıkartma ve 1 Windows hiperlink nesne kütüphanesi bilgi açığa çıkartma açıklıklarından oluşuyor.
Sonraki kritik bülten MS16-145, Edge tarayıcısı için yine 3 tanesi açığa çıkmış ancak kullanılmaya başlanmamış toplam 11 zafiyet içeriyor.
CVE-2016-7282 ve CVE-2016-7281 numaralı iki açıklık IE ile aynı. CVE-2016-7206 numaralı üçüncü açıklık ise bilgi açığa çıkartma zafiyeti.
Kalan 8 zafiyet ise saldırganın uzaktan kod çalıştırmasına ve bilgi açığa çıkartmasına olanak tanıyor.
Bir diğer kritik bülten MS16-146, Windows grafik bileşenlerindeki iki uzaktan kod çalıştırma ve bir Windows GDI bilgi açığa çıkartma açıklığını içeriyor.
Bir diğer kritik bülten MS16-147 ve MS16-148 Microsoft Office, Office Servisleri ve Web uygulamalarındaki 16 güvenlik açığını kapatıyor.
Bunların arasında 4 bellek bozulması, 3 güvenlik özelliği ekarte etme, 6 bilgi sızdırma ve bir yetki yükseltme açıklığı bulunuyor.
Son kritik güncelleme ise MS16-154, Edge ve IE için Adobe Flash Player ile ilgili 17 açıklığı adresliyor.
Bu bültende 7 serbest kalınca kullan, 4 arabellek taşması, 5 bellek bozulması ve bir güvenlik özelliği ekarte etme açıklığı adresleniyor.
En kısa sürede güncellemeleri geçmekte fayda var.