Microsoft Haziran 2026 Patch Tuesday Rekoru: 200'den Fazla Güvenlik Açığı Kapatıldı Yazılım

Microsoft Haziran 2026 Patch Tuesday Rekoru: 200'den Fazla Güvenlik Açığı Kapatıldı

Microsoft, Haziran 2026 Patch Tuesday'de rekor kırarak yaklaşık 200 güvenlik açığını yamaladı. Yapay zeka araçlarıyla tespit edilen açıklar ve Nightma

Microsoft, Haziran 2026 Patch Tuesday kapsamında rekor sayıda güvenlik açığını giderdi. Şirket, Windows işletim sistemleri ve desteklenen yazılımlarda yaklaşık 200 güvenlik deliğini yamaladı. Bunların yaklaşık üç düzinesi 'kritik' olarak sınıflandırılırken, en az üç zafiyet için kamuya açık istismar kodu bulunuyor. Bu rekor, yapay zeka araçlarının güvenlik açığı tespitinde artan kullanımıyla birlikte, gelecekte bu tür yoğun güncellemelerin norm haline gelebileceğini gösteriyor.

Tenable'da kıdemli araştırma mühendisi Satnam Narang, yapay zeka kullanımının güvenlik profesyonelleri arasında %90'a ulaştığını belirterek, 'Pandora'nın kutusu açıldı; daha gelişmiş yapay zeka modelleriyle birlikte bu hacmin artarak devam etmesini bekliyoruz' dedi. Microsoft da geçen ay yayınladığı blog yazısında, hem kendi mühendislerinin hem de güvenlik topluluğunun yapay zeka araçlarını kullanarak hata bulma oranını artırdığını doğruladı.

Haziran ayındaki sıfırıncı gün zafiyetleri arasında CVE-2026-49160 dikkat çekiyor. Bu, Microsoft Internet Information Services (IIS) dahil bir dizi web sunucusunu etkileyen bir hizmet reddi açığı. Microsoft, bu açığın OpenAI'nin Codex'i tarafından rapor edildiğini belirtti. Ayrıca, 'Nightmare Eclipse' rumuzlu bir güvenlik araştırmacısının ifşalarından kaynaklanan iki sıfırıncı gün zafiyeti de yamalandı. Bunlardan 'GreenPlasma' adı verilen açık, Windows Collaborative Translation Framework'teki bir ayrıcalık yükseltme zafiyetini kullanıyor.

Önemli Gelişmeler

Nightmare Eclipse, geçen ay Windows BitLocker'da bir açık için 'YellowKey' adlı istismar kodu yayınlamıştı. Microsoft, bu araştırmacıya karşı yasal işlem başlatmayı düşündüğünü açıklasa da, daha sonra bu niyetinin olmadığını, ancak yasaları çiğneyenleri yetkililere bildireceğini duyurdu. Nightmare Eclipse, eski bir Microsoft çalışanı olduğunu iddia ediyor. Rapid7, araştırmacının blogunda Resident Evil karakteri Albert Wesker'ın görselini kullandığını belirtti. Araştırmacı, 14 Temmuz'daki Patch Tuesday'de 'kemik kıran' bir sıfırıncı gün açığı dalgası daha yayınlayacağını duyurdu.

Nasıl Önlem Alınmalı?

Rapid7'den Adam Barnett, 200 zafiyetin Patch Tuesday için rekor olmasına rağmen, Microsoft'un bu ay aslında çok daha fazla güvenlik açığını yamaladığını belirtti: 'Bu ay Microsoft, 360 tarayıcı zafiyeti için yama yayınladı; bu, son yıllarda tipik bir aylık sayının on katı. Tarayıcı zafiyetleri Patch Tuesday sayımına dahil edilmiyor, ancak bu artış nedeniyle Microsoft artık Chromium CVE'lerini Güvenlik Güncelleme Rehberi'nde listelemiyor.'

Uzmanların Görüşleri

Microsoft ayrıca Visual Studio Code'da, GitHub token'larını tek tıklamayla çalınmasına izin veren bir sıfırıncı gün zafiyetini yamaladı. Şirket, 3 Haziran'da geçici bir düzeltme yayınlamak zorunda kaldı. Araştırmacı, Microsoft'la çalışmayı reddetti çünkü daha önce bildirdiği bir açığın sessizce yamalandığını ve kendisine atıf verilmediğini iddia etti. Geçen hafta Microsoft, Shai-Hulud solucanının bir varyantı tarafından enfekte edilen 72 kamuya açık kod deposuyla da mücadele etti. Adobe ve Google da bu ay büyük güncelleme paketleri yayınladı.

Kaynak: krebsonsecurity.com

Paylaş: