2023 44. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
44.Hafta Siber Güvenlik Haberleri
Haftanın Siber Güvenlik Terimi
Terim |
Açıklama |
AES |
(Advanced Encryption Standard; Gelişmiş Şifreleme Standardı), elektronik verinin şifrelenmesi için sunulan bir standarttır. |
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Tür |
Platform |
25-10-2023 |
Kimlik doğrulamayı atlama |
VMware Aria Operations for Logs |
|
25-10-2023 |
RCE |
VMware vCenter |
|
26-10-2023 |
XSS |
Roundcube |
|
26-10-2023 |
RCE |
NextGen Mirth Connect |
|
27-10-2023 |
RCE |
F5 |
|
30-10-2023 |
Gizli kimlik bilgilerini çalmak |
NGINX |
|
31-10-2023 |
Uygunsuz yetkilendirme |
Atlassian, Confluence veri merkezi ve sunucusu |
Ekim ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Tür |
Hedef |
25-10-2023 |
Yetkisiz kod yürütme |
PIX ödeme sistemi |
|
30-10-2023 |
Zararlı yazılım paketi yükleyicisi |
Windows cihazlar |
Haftanın Teknolojik Yeniliği
Tarih |
Teknolojik Yenilik Başlığı |
Tür |
Platform |
19-10-2023 |
Gizlilik |
Facebook ve Instagram |
Haftanın Veri İhlali
Tarih |
Veri İhlali Başlığı |
Tür |
Platform |
30-10-2023 |
Hassas verilere erişim |
ServiceNow destek sitesi |
Haber Yazısı 1
iLeakage İsimli Yeni Saldırı, A ve M Serisi CPU'lu Apple iPhone'ları ve Mac'leri Etkiliyor
TARİH: 26 Ekim 2023
Bir grup akademisyen, Apple'ın iOS, iPadOS ve macOS cihazlarında bulunan A ve M serisi CPU'larının güvenlik zayıflıklarını kullanarak Safari web tarayıcısından hassas verilerin sızdırılmasına yol açabilen yeni bir yan kanal saldırısı olan "iLeakage"i tasarladılar.
Araştırmacılar, yapılan çalışmaları sonucunda "Bir saldırgan, Safari'yi rastgele bir web sayfası oluşturmaya teşvik edebilir ve ardından spekülatif yürütme kullanarak bu sayfadaki hassas bilgileri elde edebilir" dedi.
Pratik bir saldırı senaryosunda, Gmail hesaplarının içeriğini ele geçirmek ve hatta yöneticiler tarafından otomatik olarak doldurulan şifreleri ele geçirmek amacıyla kötü amaçlı bir web sayfası kullanarak bu zayıflıktan istifade edilebilir.
"iLeakage, Apple Silikon işlemcilerine karşı Spectre tarzı spekülatif işlem saldırılarının ilk örneği olmasının yanı sıra, Apple'ın App Store politikası nedeniyle iOS ve iPadOS için sunulan tüm üçüncü taraf web tarayıcılarına karşı da etkilidir. Apple, tarayıcı sağlayıcılarının Safari'nin WebKit motorunu kullanmasını zorunlu kılar."
iLeakage haberi, siber güvenlik araştırmacılarının modern CPU'lardan hassas verileri sızdırmak için kullanılabilecek bir dizi yan kanal saldırısının (Collide Power (CVE-2023-20583), Downfall (CVE-2022-40982) ve Inception (CVE-2023-20569)) ayrıntılarını ortaya çıkarmasından aylar sonra geldi.
Bu güvenlik açığının pratik gerçek dünya saldırılarında kullanılma şansı, bunları ortadan kaldırmak için gereken teknik uzmanlık nedeniyle pek olası olmasa da araştırma, bunca yıldan sonra bile donanım güvenlik açıklarının oluşturduğu tehditlerin devam ettiğinin altını çiziyor.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.