Microsoft Haziran 2026 Patch Tuesday Rekoru: 200 Güvenlik Açığı ve Yapay Zeka Çağı Yazılım

Microsoft Haziran 2026 Patch Tuesday Rekoru: 200 Güvenlik Açığı ve Yapay Zeka Çağı

Microsoft, Haziran 2026 Patch Tuesday'de 200'e yakın güvenlik açığını kapatarak rekor kırdı. Yapay zeka destekli tespitlerle bu sayının artması beklen

Microsoft, Haziran 2026 Patch Tuesday kapsamında Windows işletim sistemleri ve desteklediği yazılımlarda yaklaşık 200 güvenlik açığını gidererek şirket tarihinde bir rekora imza attı. Bu hataların yaklaşık üç düzinesi 'kritik' olarak sınıflandırılırken, en az üç zafiyet için istismar kodu kamuya açık hale geldi. Bu durum, siber güvenlik dünyasında büyük yankı uyandırdı.

Tenable kıdemli araştırma mühendisi Satnam Narang, Microsoft'un geçen ay yayınladığı blog yazısında yapay zeka araçlarının hata bulmada giderek daha fazla kullanıldığını belirttiğini hatırlattı. Narang, 'Yapay zeka kullanımı güvenlik profesyonelleri arasında %90 seviyelerinde olduğu için bu hacimde yamaların norm haline gelmesi şaşırtıcı değil. Pandora'nın kutusu açıldı ve daha gelişmiş yapay zeka modelleriyle bu trendin yukarı yönlü devam etmesini bekliyoruz' dedi.

Bu ay yamalanan sıfır gün açıkları arasında CVE-2026-49160 öne çıkıyor. Bu, Microsoft Internet Information Services (IIS) dahil bir dizi web sunucusunu etkileyen bir hizmet reddi (DoS) zafiyeti. Microsoft, bu açığın OpenAI'ın Codex'i tarafından bildirildiğini duyurdu. Diğer iki sıfır gün ise 'Nightmare Eclipse' takma adıyla bilinen bir güvenlik araştırmacısının geçtiğimiz haftalarda yayınladığı istismarlarla bağlantılı. Bunlardan 'GreenPlasma' adlı istismar, Windows Collaborative Translation Framework'teki bir ayrıcalık yükseltme zafiyetini (CVE-2026-45586) hedef alıyor.

Sistem Güvenliği

Nightmare Eclipse ayrıca geçen ay 'YellowKey' adlı bir istismar yayınlayarak Windows BitLocker'daki bir güvenlik açığını (CVE-2026-50507) ortaya çıkarmıştı. Bu açık, fiziksel erişimi olan bir saldırganın şifrelenmiş verileri görmesine olanak tanıyordu. Microsoft, geçen ay bu araştırmacıya karşı yasal işlem başlatmayı düşündüğünü açıklayarak tepki çekmiş, ardından bu niyetinin olmadığını ancak yasa dışı durumlarda yetkililere bildirim yapılacağını duyurmuştu. İlginçtir ki, bu ayki yamalarda CVE-2026-49160 ve CVE-2026-50507'nin teşekkür bölümünde herhangi bir araştırmacı adı geçmiyor; yalnızca 'güvenlik topluluğunun koordineli açıklama yoluyla müşterileri koruma çabalarına teşekkür edildiği' belirtiliyor.

Nightmare Eclipse'in eski bir Microsoft çalışanı olduğu iddia edilirken, şirket bu iddiayı doğrulamadı. Rapid7'nin analizine göre, araştırmacının blogunda Resident Evil oyun serisinden 'Albert Wesker' karakterine ait bir görsel kullanması dikkat çekici. Nightmare Eclipse, 14 Temmuz'da (bir sonraki Patch Tuesday ile aynı gün) 'kemik kıran' bir dizi sıfır gün istismarı daha yayınlayacağını duyurdu. Hatta Microsoft'un yamalarını yayınlamasının hemen ardından Windows Defender'da olduğunu iddia ettiği bir sıfır gün istismarı daha yayınladı.

Rapid7'den Adam Barnett, bu ayki Patch Tuesday'de 200 zafiyet rekor kırsa da, aslında Microsoft'un bu ay ele aldığı güvenlik açığı sayısının çok daha yüksek olduğunu belirtti: 'Bu ay şu ana kadar Microsoft, 360 tarayıcı güvenlik açığı için yama sağladı; bu, geçtiğimiz yıllardaki aylık ortalamalardan katbekat fazla. Tarayıcı hataları genellikle Patch Tuesday sayımına dahil edilmez. Aslında, tarayıcı zafiyetlerindeki bu büyük ve muhtemelen sürekli artış, Microsoft'un Chromium CVE'lerini Güvenlik Güncelleme Rehberi'nde artık saymamasına yol açtı.' Ayrıca Microsoft, Visual Studio Code'daki tek tıkla GitHub token'larını çalmaya izin veren bir sıfır gün açığını da yamaladı. Şirket, 3 Haziran'da geçici bir düzeltme yayınlamak zorunda kalmıştı, çünkü bir araştırmacı açığın nasıl istismar edileceğine dair talimatlar yayınlamıştı.

Microsoft geçtiğimiz hafta kendi iç sıfır gün acil durumlarıyla da mücadele etti. Şirketin 72'den fazla kamuya açık kod deposu, Shai-Hulud solucanının bir varyantıyla enfekte oldu. Araştırmacılar, tüm etkilenen paketlerin Microsoft'un Azure Durable Task SDK'sıyla bağlantılı olduğunu ve Mayıs ayında da aynı solucanın hedefi olduğunu tespit etti. Adobe de bu ay büyük bir güncelleme paketi yayınladı; Adobe Experience Manager, Acrobat Reader ve Cold Fusion dahil birçok üründe kritik güvenlik açıklarını kapattı. Google ise 3 Haziran'da Chrome tarayıcısında tam 429 güvenlik açığını giderdi. Her zamanki gibi, işletim sistemi güncellemelerini uygulamadan önce verilerinizi yedeklemeniz önemle tavsiye edilir.

Kaynak: krebsonsecurity.com

Paylaş: