İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2023 44. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

44.Hafta Siber Güvenlik Haberleri

Haftanın Siber Güvenlik Terimi

Terim

Açıklama

AES

(Advanced Encryption Standard; Gelişmiş Şifreleme Standardı), elektronik verinin şifrelenmesi için sunulan bir standarttır.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür

Platform

25-10-2023

CVE-2023-34051

Kimlik doğrulamayı atlama

VMware Aria Operations for Logs

25-10-2023

CVE-2023-34048

RCE

VMware vCenter

26-10-2023

CVE-2023-5631

XSS

Roundcube

26-10-2023

CVE-2023-43208

RCE

NextGen Mirth Connect

27-10-2023

CVE-2023-46747

RCE

F5

30-10-2023

CVE-2022-4886, CVE-2023-5043, CVE-2023-5044

Gizli kimlik bilgilerini çalmak

NGINX

31-10-2023

CVE-2023-22518

Uygunsuz yetkilendirme

Atlassian, Confluence veri merkezi ve sunucusu

Ekim ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.  

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür

Hedef

25-10-2023

GoPIX

Yetkisiz kod yürütme

PIX ödeme sistemi

30-10-2023

GHOSTPULSE

Zararlı yazılım paketi yükleyicisi

Windows cihazlar

Haftanın Teknolojik Yeniliği

Tarih

Teknolojik Yenilik Başlığı

Tür

Platform

19-10-2023

Meta, Avrupa'da ücretli reklamsız aboneliği başlatıyor

Gizlilik

Facebook ve Instagram

Haftanın Veri İhlali

Tarih

Veri İhlali Başlığı

Tür

Platform

30-10-2023

ServiceNow veri ihlali

Hassas verilere erişim

ServiceNow destek sitesi

Haber Yazısı 1

iLeakage İsimli Yeni Saldırı, A ve M Serisi CPU'lu Apple iPhone'ları ve Mac'leri Etkiliyor

TARİH: 26 Ekim 2023

Bir grup akademisyen, Apple'ın iOS, iPadOS ve macOS cihazlarında bulunan A ve M serisi CPU'larının güvenlik zayıflıklarını kullanarak Safari web tarayıcısından hassas verilerin sızdırılmasına yol açabilen yeni bir yan kanal saldırısı olan "iLeakage"i tasarladılar.

Araştırmacılar, yapılan çalışmaları sonucunda "Bir saldırgan, Safari'yi rastgele bir web sayfası oluşturmaya teşvik edebilir ve ardından spekülatif yürütme kullanarak bu sayfadaki hassas bilgileri elde edebilir" dedi.

Pratik bir saldırı senaryosunda, Gmail hesaplarının içeriğini ele geçirmek ve hatta yöneticiler tarafından otomatik olarak doldurulan şifreleri ele geçirmek amacıyla kötü amaçlı bir web sayfası kullanarak bu zayıflıktan istifade edilebilir.

"iLeakage, Apple Silikon işlemcilerine karşı Spectre tarzı spekülatif işlem saldırılarının ilk örneği olmasının yanı sıra, Apple'ın App Store politikası nedeniyle iOS ve iPadOS için sunulan tüm üçüncü taraf web tarayıcılarına karşı da etkilidir. Apple, tarayıcı sağlayıcılarının Safari'nin WebKit motorunu kullanmasını zorunlu kılar."

iLeakage haberi, siber güvenlik araştırmacılarının modern CPU'lardan hassas verileri sızdırmak için kullanılabilecek bir dizi yan kanal saldırısının (Collide Power (CVE-2023-20583), Downfall (CVE-2022-40982) ve Inception (CVE-2023-20569)) ayrıntılarını ortaya çıkarmasından aylar sonra geldi.

Bu güvenlik açığının pratik gerçek dünya saldırılarında kullanılma şansı, bunları ortadan kaldırmak için gereken teknik uzmanlık nedeniyle pek olası olmasa da araştırma, bunca yıldan sonra bile donanım güvenlik açıklarının oluşturduğu tehditlerin devam ettiğinin altını çiziyor.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. iLeakage
  2. Exploitler
  3. Zafiyetler
  4. Zararlı Yazılımlar
  5. Veri İhlalleri