Microsoft, Haziran 2026 Patch Salı güncellemesi ile toplam 200 güvenlik açığını giderdi. Bu açıklardan 3'ü kamuya duyurulmuş sıfırıncı gün (zero-day) açığı olarak öne çıkıyor. Güncelleme kapsamında 33 kritik seviyede CVE düzeltilirken, bunların 28'i uzaktan kod çalıştırma (RCE) açığı. Sistem yöneticilerinin yoğun bir yama döngüsüne hazır olması gerekiyor. Özellikle HTTP/2 Bomb olarak adlandırılan DoS açığı, tek bir ev bilgisayarıyla web sunucularını 20 saniyede çökertme potansiyeli taşıyor.
En dikkat çekici sıfırıncı gün açıklarından biri CVE-2026-49160 (HTTP/2 Bomb). Bu açık, HTTP/2 ve HTTP/3 protokollerini kullanan web sunucularını hedef alan bir hizmet reddi (DoS) zafiyeti. Rapid7 kıdemli yazılım mühendisi Adam Barnett, bu tür zafiyetlerin yapay zeka destekli araçlarla keşfedildiğini ve standartlardaki güvenlik açıklarının arttığını belirtiyor. Saldırgan, düşük bant genişliğiyle sunucuyu aşırı yükleyerek hizmet dışı bırakabiliyor. Bu açık, özellikle büyük ölçekli web servisleri için ciddi bir tehdit oluşturuyor.
İkinci sıfırıncı gün açığı CVE-2026-50507, Windows BitLocker güvenlik özelliği atlatma zafiyeti. Action1 güvenlik araştırmacısı Jack Bicer, bu açığın fiziksel erişimi olan bir saldırganın BitLocker şifrelemesini atlayarak cihazdaki şifrelenmiş verilere erişmesine izin verdiğini açıkladı. Bu durum, özellikle uyumluluk gereksinimleri olan kurumlar için büyük risk taşıyor. Başarılı bir atlatma, gizli iş bilgileri, müşteri verileri, fikri mülkiyet ve düzenlenmiş verilerin ifşasına yol açabilir. Ayrıca yasal yaptırımlar ve itibar kaybına neden olabilir.
Sonuç ve Değerlendirme
Üçüncü sıfırıncı gün açığı ise CVE-2026-45586, Windows Collaborative Translation Framework (CTFMON) bileşeninde ayrıcalık yükseltme (EoP) zafiyeti. Action1 kurucu ortağı Alex Vovk, bu açığın 'link following' (bağlantı takibi) hatasından kaynaklandığını ve yerel kimliği doğrulanmış bir saldırganın sistem yetkileri kazanmasına izin verdiğini belirtiyor. Düşük yetkili bir hesaptan tam sistem kontrolüne geçişe olanak tanıyan bu açık, kötü amaçlı yazılım kurulumu, savunma atlatma, kimlik bilgisi hırsızlığı ve ağ içinde yanal hareket gibi saldırı vektörlerini tetikleyebilir.
Sistem Güvenliği
Bu ay en yaygın zafiyet türü ayrıcalık yükseltme (EoP) oldu ve 65 CVE bu kategoriye giriyor. Onu 55 ile RCE, 30 ile bilgi ifşası, 27 ile sahtecilik (spoofing) ve 19 ile güvenlik özelliği atlatma takip ediyor. Öncelik verilmesi gereken diğer önemli CVE'ler arasında Windows DNS sunucusu RCE açıkları, Hyper-V ayrıcalık yükseltme zafiyetleri ve Office bileşenlerindeki bellek bozulması sorunları bulunuyor. Yöneticilerin özellikle HTTP/2 Bomb ve BitLocker atlatma açıklarını acilen yamalaması öneriliyor.
Sonuç olarak, Microsoft'un Haziran 2026 Patch Salı güncellemesi, geniş bir yelpazede güvenlik açığını kapatıyor. Ancak üç sıfırıncı gün açığı, saldırganlar tarafından aktif olarak kullanılabileceği için en yüksek öncelikli yamalar arasında yer alıyor. Sistem yöneticilerinin, özellikle internet üzerinden erişilebilen web sunucularında HTTP/2 Bomb açığını, fiziksel güvenlik gerektiren cihazlarda BitLocker atlatma açığını ve tüm Windows sistemlerinde CTFMON ayrıcalık yükseltme açığını hemen uygulaması kritik önem taşıyor. Düzenli yama yönetimi ve güvenlik farkındalığı, bu tür tehditlere karşı en etkili savunma yöntemlerinden biri.
Kaynak: infosecurity-magazine.com