Microsoft bugün, Windows işletim sistemlerinde ve desteklenen yazılımlarda yaklaşık 200 güvenlik açığını kapatmak için yazılım güncellemeleri yayınladı; bu, şirketin aylık Salı Yaması döngüsü için rekor sayıda düzeltmedir. Bu hataların neredeyse üç düzinesi Microsoft'un en korkunç "kritik" derecesini aldı ve zayıf yönlerden en az üçüne yönelik yararlanma kodu artık kamuya açık.
Tenable'ın kıdemli personel araştırma mühendisi Satnam Narang, yazılım devinin geçen ayki bir blog yazısında hem mühendislerinin hem de güvenlik topluluğunun hataları bulmak için yapay zeka araçlarını kullandığını, bunun da bu ayın yoğun Salı Yaması'nın norm haline gelmeye başlayabileceği anlamına geldiğini söyledi.
Narang, "Bazı anketler, güvenlik profesyonelleri arasında yapay zeka kullanımının genel olarak %90 olduğunu gösteriyor, dolayısıyla bu miktardaki yamaların normal olması şaşırtıcı değil" dedi. "Pandora'nın meşhur kutusu açıldı ve daha gelişmiş yapay zeka modelleri kullanıma sunuldukça normun yalnızca Salı Yaması için değil, genel olarak yukarı doğru devam etmesini bekliyoruz."
Haziran ayının sıfır gün hataları arasında, Microsoft Internet Information Services (IIS) de dahil olmak üzere bir dizi web sunucusunu etkileyen bir hizmet reddi güvenlik açığı olan CVE-2026-49160 yer alıyor. Microsoft, kusurun OpenAI Codex tarafından bildirildiğini söylüyor.
Bu ay ele alınan sıfır günden ikisinin, çeşitli Windows kusurları için açıklardan yararlanan bir güvenlik araştırmacısı tarafından seçilen takma ad olan Nightmare Eclipse tarafından yakın zamanda yapılan güvenlik açığı açıklamalarından kaynaklandığı görülüyor. Bunlardan "YeşilPlasma" olarak adlandırılan biri, bugün CVE-2026-45586'da yamalanan aynı çerçeve olan Windows İşbirliğine Dayalı Çeviri Çerçevesindeki ayrıcalık yükselmesi zayıflığından yararlanıyor.
Nightmare Eclipse ayrıca geçen ay, fiziksel erişimi olan bir saldırganın şifrelenmiş verileri görüntülemesine olanak tanıyan bir Windows BitLocker güvenlik açığına yönelik bir istismar olan "YellowKey"i yayınladı ve CVE-2026-50507, BitLocker'daki ayrıcalık yükselmesi hatasına yönelik bir yamadır.
Microsoft, geçen ay bir blog yazısında güvenlik araştırmacısına karşı yasal işlem başlatmayı düşündüğünü açıklamasının ardından sosyal medyada ağır tepki aldı. Şirket daha sonra Twitter/X'te araştırmacılara karşı yasal işlem başlatma niyetinde olmadığını ancak yasayı ihlal etmeleri halinde onları yetkililere bildireceğini açıkladı. CVE-2026-49160 ve CVE-2026-50507'ye yönelik tavsiyeler, teşekkür bölümündeki hiçbir araştırmacıya itibar etmez ve yalnızca "Microsoft, güvenlik topluluğunda koordineli güvenlik açığı ifşası yoluyla müşterileri korumamıza yardımcı olan kişilerin çabalarını takdir etmektedir" ifadesini kullanır.
Nightmare Eclipse, Microsoft'un eski bir çalışanı olduğunu iddia etse de Microsoft bu iddiayla ilgili sorulara yanıt vermedi. Rapid7, Nightmare Eclipse'in yakın tarihli bir blog gönderisinde, daha önce bir teknoloji şirketinde araştırmacı olarak çalışan ve hileye başvurmadan önce Resident Evil video oyunu serisinden bir karakter olan Albert Wesker'in bir görüntüsünün yer aldığını belirtiyor.
Nightmare Eclipse, 14 Temmuz (gelecek ayın Salı Yaması ile aynı gün) için planlanan ve "kemik parçalayan" bir düşüş olarak adlandırdıkları Windows için daha da fazla sıfır gün açıklarını yayınlama sözü verdi. Bugün Microsoft yamalarının yayınlanmasının hemen ardından araştırmacı, Windows Defender'da sıfır gün hatası olduğunu iddia ettiği bir istismar yayınladı.
Rapid7'den Adam Barnett, Salı Yaması için 200 güvenlik açığının bir rekor olabileceğini ancak Microsoft'un bu ay ele aldığı güvenlik kusurlarının gerçek sayısının çok daha yüksek olduğunu söyledi.
Barnett, "Bu ay şu ana kadar Microsoft, 360 tarayıcı güvenlik açıklarını gidermek için yamalar sağladı; bu, son birkaç yılda herhangi bir ayda görülenden çok daha büyük bir büyüklük sırasıdır" diye yazdı. "Her zamanki gibi, tarayıcı [kusurları] yukarıdaki Salı Yaması sayımına dahil edilmiyor. Aslında, tarayıcı güvenlik açıklarının sayısındaki büyük ve muhtemelen sürekli artış, Microsoft'un artık Güvenlik Güncelleme Kılavuzu'nda Chromium CVE'lerini sıralamamasına yol açtı."
Microsoft ayrıca Visual Studio Code'da, saldırganların GitHub token'larını tek bir cli ile çalmasına olanak tanıyan sıfır gün güvenlik açığını da yamaladı
ck. Bir araştırmacının bu kusurdan nasıl yararlanılacağını gösteren talimatları yayınlamasının ardından şirket, 3 Haziran'da kusura yönelik bir geçici düzeltme uygulamak zorunda kaldı. Araştırmacı, Redmond'un rapor ettikleri bir kusuru kredi veya tanınma sunmadan sessizce yamaladığı yakın tarihli bir deneyim nedeniyle Microsoft ile çalışmamayı tercih ettiklerini söyledi.
Microsoft, şirketin genel kod depolarından en az 72'sine Shai-Hulud solucanının bir çeşidinin bulaşmasının ardından geçen hafta kendi dahili sıfır gün acil durumlarıyla mücadele etti. Araştırmacılar, etkilenen tüm paketlerin, Mayıs ayında aynı Shai-Hulud solucanının saldırısına uğrayan Microsoft resmi Azure Dayanıklı Görev SDK'sına bağlı olduğunu buldu.
Diğer büyük yazılım üreticileri de bu ay çok büyük güncelleme paketleri gönderiyor. Adobe, aralarında Adobe Experience Manager, Acrobat Reader ve Cold Fusion'ın da bulunduğu bir dizi üründe çok sayıda kritik güvenlik açığını düzeltmek için güncellemeler yayınladı. 3 Haziran'da Google, en son Chrome tarayıcı güncellemesinde 429 güvenlik açığını giderdi (Chrome güncellemeleri otomatik olarak indirir ancak bunları yüklemek genellikle tarayıcının tamamen yeniden başlatılmasını gerektirir).
Her zamanki gibi, lütfen işletim sistemi güncellemelerini uygulamadan önce verilerinizi yedeklemeyi düşünün ve bu ayın yamalarıyla herhangi bir sorunla karşılaşırsanız yorumlara not bırakın.
Daha fazla okuma:
Microsoft'un Güvenlik Güncelleştirmesi Kılavuzu
Action1'in Salı Yaması dökümü
SANS İnternet Fırtınası Merkezi Salı Yaması ile ilgili notlar