Microsoft, Haziran 2025 Patch Tuesday güncellemeleriyle toplam 200 güvenlik açığını düzeltti. Bu açıklardan üçü, kamuya açıklanmış sıfırıncı gün (zero-day) olarak öne çıkıyor. Güncellemeler, sistem yöneticileri için yoğun bir dönemin habercisi olurken, 33 kritik seviyede güvenlik açığı giderildi. Bunların 28'i uzaktan kod çalıştırma (RCE) açığı olarak kayıtlara geçti. Özellikle HTTP/2 Bomb olarak bilinen CVE-2026-49160, yapay zeka destekli araçlarla keşfedilen bir hizmet reddi (DoS) zafiyeti olarak dikkat çekiyor. Bu açık, tek bir ev bilgisayarı kullanılarak web sunucularının 20 saniye gibi kısa bir sürede çökertilmesine olanak tanıyor.
Rapid7 baş yazılım mühendisi Adam Barnett, HTTP/2 Bomb zafiyetinin HTTP/2 ve HTTP/3 standartlarını uygulayan web sunucularını etkilediğini belirtti. Barnett, "Zaman zaman HTTP/2 ve HTTP/3 standartlarını uygulayan web sunucularını etkileyen yeni hizmet reddi zafiyetleri ortaya çıkıyor. Bu tür zafiyetler, araştırmacıların yalnızca belirli yazılımları değil, aynı zamanda yazılımların dayandığı standartları da incelemek için büyük dil modellerindeki (LLM) gelişmelerden yararlanmasıyla daha da yaygınlaşabilir" dedi. CVE-2026-49160, bu tür zafiyetlerin yapay zeka ile keşfedilmesine örnek teşkil ediyor.
İkinci zero-day açığı olan CVE-2026-50507, Windows BitLocker güvenlik özelliğini atlatma zafiyeti olarak karşımıza çıkıyor. Action1 güvenlik açığı araştırma direktörü Jack Bicer, bu açığın fiziksel erişime sahip bir saldırganın, cihazdaki şifrelenmiş verilere erişmesine olanak tanıyabileceğini belirtti. Bicer, "Başarılı bir atlatma, güvenlik kontrolünü zayıflatarak gizli iş bilgileri, müşteri verileri, fikri mülkiyet, finansal kayıtlar ve düzenlenmiş verilerin açığa çıkmasına neden olabilir. Uç nokta şifrelemesinin uyumluluk gerektirdiği ortamlarda, bu zafiyet düzenleyici riskler, ihlal bildirim yükümlülükleri, itibar kaybı ve mali kayıplara yol açabilir" dedi.
Gelecekte Ne Bekleniyor?
Üçüncü zero-day ise Windows Collaborative Translation Framework (CTFMON) bileşenindeki bir ayrıcalık yükseltme (EoP) açığı olan CVE-2026-45586. Action1 kurucu ortağı Alex Vovk, bu açığın "link takibi" (link following) yöntemiyle yerel kimliği doğrulanmış bir saldırganın sistem ayrıcalıkları kazanmasına izin verdiğini belirtti. Vovk, "Düşük ayrıcalıklı bir erişim, Windows'un yanlış zamanda yanlış bağlantıyı takip etmesiyle tam sistem kontrolüne dönüşebilir. Sistem erişimi, kötü amaçlı yazılım yükleme, savunma kaçırma, kimlik bilgisi hırsızlığı, veri değiştirme ve ortamda daha derin hareket etmeye olanak tanır. İşletmeler için bu, kimlik avı, çalınan kimlik bilgileri veya standart kullanıcı hesaplarının ele geçirilmesinin etkisini artırabilir" dedi.
Uzmanların Görüşleri
Bu ay düzeltilen açıklar arasında en yaygın kategori ayrıcalık yükseltme (EoP) oldu; toplam 65 CVE bu gruba giriyor. Uzaktan kod çalıştırma (RCE) açıkları 55, bilgi ifşası 30, kimlik sahteciliği (spoofing) 27 ve güvenlik özelliğini atlatma 19 zafiyet ile takip ediyor. Ayrıca, sistem yöneticilerinin öncelik vermesi gereken diğer önemli CVE'ler de bulunuyor. Bu güncellemeler, özellikle HTTP/2 Bomb gibi kritik hizmet reddi açıklarının yanı sıra, fiziksel erişim gerektiren BitLocker atlatma ve CTFMON ayrıcalık yükseltme zafiyetlerini kapsıyor.
Microsoft'un Haziran 2025 Patch Tuesday güncellemeleri, kurumsal ağların güvenliği için hayati önem taşıyor. Özellikle HTTP/2 Bomb zafiyeti, düşük maliyetle büyük çaplı hizmet kesintilerine yol açabileceği için acilen yamalanmalıdır. Benzer şekilde, BitLocker atlatma açığı, fiziksel güvenlik önlemlerini aşarak hassas verileri tehlikeye atabilir. Sistem yöneticileri, bu güncellemeleri en kısa sürede uygulamalı ve özellikle internet üzerinden erişilebilen sunucular ile hassas veri içeren cihazlara öncelik vermelidir.
Kaynak: infosecurity-magazine.com