Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Edge için Toplu Güvenlik Güncelleştirmesi (3204062)
Yayımlanma Tarihi: 13 Aralık 2016
Sürüm: 1.0
Yönetici Özeti
Bu güvenlik güncelleştirmesi Microsoft Edge'deki güvenlik açıklarını giderir. Güvenlik açıklarının en önemlileri, bir kullanıcı Microsoft Edge kullanarak özel olarak hazırlanmış bir web sayfasını görüntülerse uzaktan kod yürütülmesine izin verebilir. Güvenlik açıklarından başarıyla yararlanan bir saldırgan, geçerli kullanıcıyla aynı kullanıcı haklarını elde edebilir. Hesapları sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılmış müşteriler, yönetici kullanıcı haklarına sahip kullanıcılardan daha az etkilenebilir.
Bu güvenlik güncelleştirmesi, Windows 10 ve Windows Server 2016'da Microsoft Edge için Kritik olarak derecelendirilmiştir. Daha fazla bilgi için Etkilenen Yazılım bölümüne bakın.
Güncelleştirme güvenlik açıklarını şu şekilde giderir:
- Microsoft tarayıcısı ve etkilenen bileşenler bellekteki nesneleri işler
- Microsoft tarayıcısı, Web Çalışanları içinde çalışan betikler için Aynı Kaynak İlkesi'ni denetler
- Betik altyapıları bellekteki nesneleri işler
Güvenlik açıkları hakkında daha fazla bilgi için Güvenlik Açığı Bilgileri bölümüne bakın.
Bu güncelleştirme hakkında daha fazla bilgi için 3204062 Microsoft Bilgi Bankası makalesine bakın.
Etkilenen Yazılım
Aşağıdaki yazılım sürümleri veya sürümleri etkilenir. Listelenmeyen sürümler veya sürümler destek yaşam döngüsünü geçmiştir veya etkilenmez. Yazılım sürümünüz veya sürümünüz için destek yaşam döngüsünü belirlemek için bkz. Microsoft Desteği Yaşam Döngüsü.
Etkilenen her yazılım için belirtilen önem derecesi derecelendirmeleri, güvenlik açığının olası en yüksek etkisini varsayar. Bu güvenlik bülteninin yayımlanmasının ardından 30 gün içinde güvenlik açığının önem derecesi ve güvenlik etkisiyle ilgili olarak bu güvenlik açığından yararlanma olasılığıyla ilgili bilgi için aralık bülteni özetindeki Exploitability Index bölümüne bakın.
Not Güvenlik güncelleştirmesi bilgilerini kullanma konusunda yeni bir yaklaşım için lütfen Güvenlik Güncelleştirmesi Kılavuzu'na bakın. Görünümlerinizi özelleştirebilir, etkilenen yazılım elektronik tabloları oluşturabilir ve bekleyen bir API aracılığıyla veri indirebilirsiniz. Daha fazla bilgi için bkz. Güvenlik Güncelleştirmeler Kılavuzu SSS. Güvenlik Güncelleştirmeler Kılavuzu, Şubat 2017 itibarıyla güvenlik bültenlerinin yerini alacaktır. Daha fazla ayrıntı için lütfen güvenlik güncelleştirmelerine olan taahhüdümüzün devamı olan blog gönderimize bakın.
| İşletim Sistemi | Bileşen | En Yüksek Güvenlik Etkisi | Toplam Önem Derecesi | Güncelleştirmeler Değiştirildi |
|---|---|---|---|---|
| Microsoft Edge | ||||
| 32 bit Sistemler için Windows 10[1]\ (3205383) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3198585 |
| x64 Tabanlı Sistemler için Windows 10[1]\ (3205383) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3198585 |
| 32 bit Sistemler için Windows 10 Sürüm 1511[1]\ (3205386) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3198586 |
| x64 Tabanlı Sistemler için Windows 10 Sürüm 1511[1](3205386) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3198586 |
| 32 bit Sistemler için Windows 10 Sürüm 1607[1]\ (3206632) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3200970 |
| x64 Tabanlı Sistemler için Windows 10 Sürüm 1607[1] (3206632) | Microsoft Edge | Uzaktan Kod Yürütme | Kritik | 3200970 |
| x64 Tabanlı Sistemler için Windows Server 2016[1] (3206632) | Microsoft Edge | Uzaktan Kod Yürütme | Orta | 3200970 |
[1] Windows 10 ve Windows Server 2016 güncelleştirmeleri toplu olarak güncelleştirilir. Aylık güvenlik sürümü, güvenlikle ilgili olmayan güncelleştirmelere ek olarak Windows 10'ı etkileyen güvenlik açıklarına yönelik tüm güvenlik düzeltmelerini içerir. Güncelleştirmeler Microsoft Update Kataloğu aracılığıyla sağlanır. Toplu Güncelleştirmeler için 13 Aralık 2016, Windows 10 ve Windows Server 2016'nın ayrıntılarının Sürüm Notları'nda belgelendiğini lütfen unutmayın. lütfen İşletim Sistemi Derleme numaraları, Bilinen Sorunlar ve etkilenen dosya listesi bilgileri için Sürüm Notları'na bakın.
Önem Derecesi Ve Güvenlik Açığı Tanımlayıcıları
Aşağıdaki önem derecesi, güvenlik açığının olası en yüksek etkisini varsayar. Bu güvenlik bülteninin yayımlanmasının ardından 30 gün içinde güvenlik açığının önem derecesi ve güvenlik etkisiyle ilgili olarak bu güvenlik açığından yararlanma olasılığıyla ilgili bilgi için aralık bülteni özetindeki Exploitability Index bölümüne bakın.
Önem Derecesi ve Etki tablosunda belirtildiğinde, Kritik, Önemli ve Orta değerler önem derecelerini gösterir. Daha fazla bilgi için bkz . Güvenlik Bülteni Önem Derecesi Sistemi. En yüksek etkiyi göstermek için tabloda kullanılan kısaltmalar için aşağıdaki anahtara bakın:
| Kısaltma | En Fazla Etki |
|---|---|
| RCE | Uzaktan Kod Yürütme |
| Eop | Elevation of Privilege (Ayrıcalık Yükseltme) |
| Kimlik | Information Disclosure (Bilgilerin Açığa Çıkması) |
| SFB | Güvenlik Özelliğini Atlama |
| Güvenlik Açığı Önem Derecesi ve Etkisi | ||
|---|---|---|
| CVE numarası | Güvenlik Açığı Başlığı | Microsoft Edge |
| CVE-2016-7181 | Microsoft Edge'de Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Orta / RCE\ Windows Sunucuları: Düşük / RCE |
| CVE-2016-7206 | Microsoft Edge'de Bilgilerin Açığa Çıkması Güvenlik Açığı | Windows İstemcileri: Önemli / Kimlik\ Windows Sunucuları: Düşük / Kimlik |
| CVE-2016-7279 | Microsoft Browser Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Önemli / RCE\ Windows Sunucuları: Düşük / RCE |
| CVE-2016-7280 | Microsoft Edge'de Bilgilerin Açığa Çıkması Güvenlik Açığı | Windows İstemcileri: Önemli / Kimlik\ Windows Sunucuları: Düşük / Kimlik |
| CVE-2016-7281 | Microsoft Browser Güvenlik Özelliğini Atlama | Windows İstemcileri: Önemli / Kimlik\ Windows Sunucuları: Düşük / Kimlik |
| CVE-2016-7282 | Microsoft Browser Bilgilerinin Açığa Çıkması Güvenlik Açığı | Windows İstemcileri: Önemli / Kimlik\ Windows Sunucuları: Düşük / Kimlik |
| CVE-2016-7286 | Betik Altyapısı Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Önemli / RCE\ Windows Sunucuları: Düşük / RCE |
| CVE-2016-7287 | Betik Altyapısı Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Kritik / RCE\ Windows Sunucuları: Orta / RCE |
| CVE-2016-7288 | Betik Altyapısı Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Kritik / RCE\ Windows Sunucuları: Orta / RCE |
| CVE-2016-7296 | Betik Altyapısı Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Kritik / RCE\ Windows Sunucuları: Orta / RCE |
| CVE-2016-7297 | Betik Altyapısı Bellek Bozulması Güvenlik Açığı | Windows İstemcileri: Kritik / RCE\ Windows Sunucuları: Orta / RCE |
Güvenlik Açığı Bilgileri
Birden Çok Microsoft Browser Bellek Bozulması Güvenlik Açığı
Etkilenen Microsoft tarayıcıları bellekteki nesnelere yanlış eriştiğinde birden çok uzaktan kod yürütme güvenlik açığı vardır. Güvenlik açıkları, bir saldırganın geçerli kullanıcı bağlamında rastgele kod yürütebileceği şekilde belleği bozabilir. Güvenlik açıklarından başarıyla yararlanan bir saldırgan, geçerli kullanıcıyla aynı kullanıcı haklarını elde edebilir. Geçerli kullanıcı yönetici haklarıyla oturum açtıysa, saldırgan etkilenen sistemin denetimini alabilir. Böylece saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir.
Saldırgan, etkilenen Microsoft tarayıcıları aracılığıyla güvenlik açıklarından yararlanmak için tasarlanmış özel hazırlanmış bir web sitesi barındırabilir ve ardından kullanıcıyı web sitesini görüntülemeye ikna edebilir. Saldırgan, güvenlik açıklarından yararlanabilecek özel hazırlanmış içerik ekleyerek güvenliği aşılmış web sitelerinden veya kullanıcı tarafından sağlanan içeriği veya reklamları kabul eden veya barındıran web sitelerinden de yararlanabilir. Ancak her durumda, bir saldırganın kullanıcıları saldırgan denetimindeki içeriği görüntülemeye zorlama yolu yoktur. Bunun yerine, bir saldırganın genellikle bir e-posta veya Anlık İleti iletisindeki bir etkiyle veya e-posta yoluyla gönderilen bir eki açmalarını sağlayarak kullanıcıları eylem gerçekleştirmeye ikna etmek zorunda olur.
Güncelleştirme, Microsoft tarayıcılarının bellekteki nesneleri işleme biçimini değiştirerek güvenlik açıklarını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki güvenlik açığı için standart girişe bir bağlantı yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| Microsoft Edge'de Bellek Bozulması Güvenlik Açığı | CVE-2016-7181 | Hayır | Hayır |
| Microsoft Browser Bellek Bozulması Güvenlik Açığı | CVE-2016-7279 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açıkları için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açıkları için herhangi bir geçici çözüm tanımlamamıştır.
Birden Çok Microsoft Browser Bilgilerinin Açığa Çıkması Güvenlik Açıkları
Microsoft Tarayıcıları belirli koşullar altında içeriği düzgün bir şekilde doğrulamadığında bilgilerin açığa çıkması güvenlik açıkları oluşur. Bu güvenlik açıklarından yararlanan bir saldırgan, bilgilerin açığa çıkmasına neden olabilecek rastgele kodlar çalıştırabilir.
Web tabanlı saldırı senaryosunda, saldırgan bu güvenlik açıklarından yararlanma girişiminde bir web sitesi barındırabilir. Ayrıca, güvenliği aşılmış web siteleri ve kullanıcı tarafından sağlanan içeriği kabul eden veya barındıran web siteleri, bu güvenlik açıklarından yararlanabilecek özel olarak hazırlanmış içerik içerebilir. Ancak, her durumda bir saldırganın kullanıcıları saldırgan denetimindeki içeriği görüntülemeye zorlama yolu yoktur. Bunun yerine, bir saldırganın kullanıcıları eyleme geçmeleri için ikna etmek zorunda olması gerekir. Örneğin bir saldırgan, kullanıcıyı saldırganın sitesine götüren bir bağlantıya tıklamaları için kullanıcıları kandırabilir.
Güvenlik güncelleştirmesi, Microsoft Browser'ların içeriği doğrulama biçimini düzelterek güvenlik açıklarını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki her güvenlik açığı için standart girişin bağlantıları yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| Microsoft Edge'de Bilgilerin Açığa Çıkması Güvenlik Açığı | CVE-2016-7206 | Yes | Hayır |
| Microsoft Edge'de Bilgilerin Açığa Çıkması Güvenlik Açığı | CVE-2016-7280 | Hayır | Hayır |
| Microsoft Browser Bilgilerinin Açığa Çıkması Güvenlik Açığı | CVE-2016-7282 | Yes | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açıkları için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açıkları için herhangi bir geçici çözüm tanımlamamıştır.
Birden Çok Betik Altyapısı Bellek Bozulması Güvenlik Açıkları
Microsoft tarayıcılarında bellekteki nesneleri işlerken etkilenen Microsoft betik altyapılarının işleme biçiminde uzaktan kod yürütme güvenlik açıkları vardır. Güvenlik açıkları, bir saldırganın geçerli kullanıcı bağlamında rastgele kod yürütebileceği şekilde belleği bozabilir. Bu güvenlik açıklarından başarıyla yararlanan bir saldırgan, geçerli kullanıcıyla aynı kullanıcı haklarını elde edebilir. Geçerli kullanıcı yönetici haklarıyla oturum açtıysa, güvenlik açığından başarıyla yararlanan bir saldırgan etkilenen sistemin denetimini alabilir. Böylece saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir.
Web tabanlı bir saldırı senaryosunda saldırgan, microsoft tarayıcısı aracılığıyla bu güvenlik açıklarından yararlanmak için tasarlanmış özel hazırlanmış bir web sitesi barındırabilir ve ardından kullanıcıyı web sitesini görüntülemeye ikna edebilir. Saldırgan, Edge işleme altyapısını barındıran bir uygulamaya veya Microsoft Office belgesine "başlatma için güvenli" olarak işaretlenen bir ActiveX denetimi de katıştırabilir. Saldırgan ayrıca güvenliği aşılmış web sitelerinden ve kullanıcı tarafından sağlanan içeriği veya reklamları kabul eden veya barındıran web sitelerinden de yararlanabilir. Bu web siteleri, bu güvenlik açıklarından yararlanabilecek özel olarak hazırlanmış içerikler içerebilir.
Güvenlik güncelleştirmesi, etkilenen Microsoft betik altyapılarının bellekteki nesneleri işleme şeklini değiştirerek bu güvenlik açıklarını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki her güvenlik açığı için standart girişin bağlantıları yer alır:
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| Betik Altyapısı Bellek Bozulması Güvenlik Açığı | CVE-2016-7287 | Hayır | Hayır |
| Betik Altyapısı Bellek Bozulması Güvenlik Açığı | CVE-2016-7286 | Hayır | Hayır |
| Betik Altyapısı Bellek Bozulması Güvenlik Açığı | CVE-2016-7288 | Hayır | Hayır |
| Betik Altyapısı Bellek Bozulması Güvenlik Açığı | CVE-2016-7296 | Hayır | Hayır |
| Betik Altyapısı Bellek Bozulması Güvenlik Açığı | CVE-2016-7297 | Hayır | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açıkları için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açıkları için herhangi bir geçici çözüm tanımlamamıştır.
Microsoft Browser Güvenlik Özelliğini Atlama Güvenlik Açığı - CVE-2016-7281
Microsoft tarayıcıları Web Çalışanları içinde çalışan betikler için Aynı Kaynak İlkesi'ni doğru uygulayamadığında bir güvenlik özelliği atlama güvenlik açığı oluşur.
Saldırgan, kullanıcıyı kötü amaçlı içeriğe sahip bir sayfayı yüklemesi için kandırabilir. Bir saldırganın bu güvenlik açığından yararlanmak için kullanıcıyı bir sayfayı yüklemesi veya siteyi ziyaret edecek şekilde kandırması gerekir. Sayfa, güvenliği aşılmış bir siteye veya reklam ağına da eklenebilir.
Güncelleştirme, Web Çalışanları içinde çalışan betikler için Aynı Kaynak İlkesi denetimini düzelterek güvenlik açığını giderir.
Aşağıdaki tabloda, Ortak Güvenlik Açıkları ve Etkilenmeler listesindeki güvenlik açığı için standart girişin bağlantıları yer alır.
| Güvenlik açığı başlığı | CVE numarası | Genel olarak açıklandı | Yararlanan |
|---|---|---|---|
| Microsoft Browser Güvenlik Özelliğini Atlama | CVE-2016-7281 | Yes | Hayır |
Azaltıcı Faktörler
Microsoft bu güvenlik açığı için herhangi bir azaltıcı faktör belirlememiştir.
Geçici Çözümler
Microsoft bu güvenlik açığı için herhangi bir geçici çözüm tanımlamamıştır.
Güvenlik Güncelleştirmesi Dağıtımı
Güvenlik Güncelleştirmesi Dağıtım bilgileri için Yönetici Özeti'nde başvuruda bulunan Microsoft Bilgi Bankası makalesine bakın.
İlgili kaynaklar
Microsoft, güvenlik topluluğundaki müşterilerin eşgüdümlü güvenlik açığının açığa çıkması yoluyla korunmasına yardımcı olan kişilerin çabalarını tanır. Daha fazla bilgi için bkz . Bildirimler .
Bildirim
Microsoft Bilgi Bankası'nda sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltmeler
- V1.0 (13 Aralık 2016) Bülteni yayımlandı.
Sayfa oluşturuldu 2016-12-07 12:26-08:00.