Microsoft, 138 Güvenlik Açığını Kapatıyor
Microsoft, Salı günü ürün yelpazesini kapsayan 138 güvenlik açığını kapatan güncellemeleri yayınladı. Bu açıkların hiçbiri kamuya açık olarak bilinmiyor veya aktif saldırı altında değil.
Açıklanan 138 açığın 30’u Kritik, 104’ü Önemli, 3’ü Orta ve 1’i Düşük olarak derecelendirildi. Bu açıkların 61’i ayrıcalık yükseltme hatası olarak sınıflandırılırken, 32’si uzaktan kod çalıştırma, 15’i bilgi sızdırma, 14’ü sahtecilik, 8’i hizmet reddi, 6’sı güvenlik özelliği atlama ve 2’si ise değiştirme hatası olarak tanımlandı.
Güncelleme listesinde ayrıca, AMD tarafından bu ay kapatılan bir açık da yer alıyor. Bu açık, Zen 2 tabanlı ürünlerdeki işlemci çalışma önbelleğindeki paylaşılan kaynakların yanlış izolasyonu ile ilgili olup, bir saldırganın farklı ayrıcalık seviyelerinde yürütülen talimatları bozmasına olanak tanıyabilir.
Microsoft’un kapattığı en ciddi açıklar arasında, Windows DNS’ini etkileyen CVE-2026-41096 (CVSS skoru: 9.8) bulunmaktadır. Bu açık, yetkisiz bir saldırganın ağ üzerinden kod çalıştırmasına olanak tanıyabilir.
Microsoft, bu açığın kötüye kullanılma potansiyelini şu şekilde açıkladı: “Bir saldırgan, hedef Windows sistemine özel olarak hazırlanmış bir DNS yanıtı göndererek, DNS istemcisinin yanıtı yanlış işlemesine ve belleği bozmasına neden olabilir. Bu durum, bazı yapılandırmalarda saldırganın, kimlik doğrulaması olmaksızın etkilenen sistemde uzaktan kod çalıştırmasına olanak tanıyabilir.”
Microsoft ayrıca birçok Kritik ve Önemli derecelendirmeye sahip açığı da düzeltmiştir. Örneğin, CVE-2026-41103 hakkında Rapid7’den yazılım mühendisi Adam Barnett, “Bu kritik ayrıcalık yükseltme açığı, yetkisiz bir saldırganın sahte kimlik bilgileri sunarak mevcut bir kullanıcıyı taklit etmesine olanak tanır ve böylece Entra ID’yi atlatır” dedi.
Microsoft, Windows Secure Boot sertifikalarını 2023 versiyonlarına güncellemeleri konusunda organizasyonları uyararak, 2011’de yayımlanan sertifikaların gelecek ay sona ereceğini belirtti. Rain Baker, Nightwing’den kıdemli olay müdahale uzmanı, “Güncellemeleri almayan cihazlar, 26 Haziran’da ‘felaket seviyesinde güvenlik hataları’ ile karşılaşabilir” dedi.
2026 Yılında 500’den Fazla CVE
Tenable’dan kıdemli araştırma mühendisi Satnam Narang, Microsoft’un yılın beş ayında 500’den fazla CVE’yi kapattığını belirtti. Bu yüksek düzeydeki düzeltmeler, güvenlik açığı keşfi alanında yeni zirvelere ulaşıldığını gösteriyor.
Microsoft, yapay zeka destekli güvenlik açığı keşfi sayesinde, Patch Tuesday güncellemelerinin önümüzdeki aylarda artmasını bekliyor. Bu ay düzeltmeler arasında yer alan 16 açığın, Microsoft’un yeni çoklu model yapay zeka destekli keşif sistemi aracılığıyla tespit edildiği bildirildi.
Microsoft, güvenlik açığı keşif hızının artmasının operasyonel talepleri artırabileceğini ve risk yönetimi konusunda disiplinli bir yaklaşım gerektirdiğini vurguladı. “Desteklenen işletim sistemleri, ürünler ve yamalar hakkında güncel kalın ve yamanızın hızını ve tutarlılığını gözden geçirin” dedi.
