ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilmiş Güvenlik Açıkları (KEV) Kataloğu'na yedi yeni güvenlik açığı ekledi. Bu açıkların halihazırda siber saldırganlar tarafından aktif olarak kullanıldığı tespit edildi. Eklenen açıklar arasında Microsoft Windows, Internet Explorer, DirectX, Adobe Acrobat ve Reader ile Microsoft Defender ürünlerindeki kritik zafiyetler bulunuyor. CISA, bu tür açıkların federal sistemler için ciddi risk oluşturduğunu vurguluyor.
Kataloğa eklenen güvenlik açıkları şunlar: CVE-2008-4250 (Microsoft Windows Arabellek Taşması), CVE-2009-1537 (Microsoft DirectX NULL Byte Yazma), CVE-2009-3459 (Adobe Acrobat ve Reader Yığın Tabanlı Arabellek Taşması), CVE-2010-0249 ve CVE-2010-0806 (Microsoft Internet Explorer Use-After-Free), CVE-2026-41091 (Microsoft Defender Ayrıcalık Yükseltme) ve CVE-2026-45498 (Microsoft Defender Hizmet Reddi). Bu açıkların çoğu yıllardır bilinmesine rağmen hâlâ istismar edilmeye devam ediyor.
Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında oluşturulan KEV Kataloğu, federal sivil yürütme organı (FCEB) kurumlarının bu açıkları belirtilen son tarihlere kadar gidermesini zorunlu kılıyor. Direktif, bilinen istismar edilmiş açıkların oluşturduğu önemli riski azaltmayı hedefliyor. CISA, tüm kuruluşları bu açıkları önceliklendirerek güncellemeleri yapmaya çağırıyor.
Her ne kadar BOD 22-01 yalnızca federal kurumları bağlasa da, CISA tüm özel sektör ve kamu kuruluşlarının bu güvenlik açıklarını acilen kapatmasını tavsiye ediyor. KEV Kataloğu düzenli olarak güncelleniyor ve yeni istismar edilen açıklar eklendikçe kuruluşların bu listeyi takip etmesi kritik önem taşıyor. Siber güvenlik uzmanları, özellikle eski ve yaygın kullanılan yazılımlardaki açıkların hâlâ hedef alındığını belirtiyor.