Microsoft, Haziran 2025 Patch Salı güncellemeleri kapsamında toplam 200 güvenlik açığını düzeltti. Bu açıklardan 33'ü kritik seviyede olup, çoğunluğunu (28) uzaktan kod çalıştırma (RCE) zafiyetleri oluşturuyor. Özellikle üç sıfırıncı gün (zero-day) açığının kamuya duyurulmuş olması, sistem yöneticilerini yoğun bir yama maratonuna hazırlıyor. Bu güncellemeler, hem bireysel kullanıcılar hem de kurumsal ağlar için hayati önem taşıyor.
En dikkat çekici sıfırıncı gün açıklarından biri, CVE-2026-49160 olarak izlenen ve 'HTTP/2 Bomb' olarak adlandırılan güvenlik açığı. Bu açık, HTTP/2 ve HTTP/3 protokollerini kullanan web sunucularını hedef alan bir hizmet engelleme (DoS) zafiyeti. Yapay zeka destekli araçlarla keşfedilen bu açık, tek bir ev bilgisayarı kullanan saldırganın, sunucuları sadece 20 saniyede çökertmesine olanak tanıyor. Rapid7 kıdemli yazılım mühendisi Adam Barnett, bu tür zafiyetlerin, araştırmacıların büyük dil modelleri (LLM) yardımıyla sadece yazılımları değil, aynı zamanda protokol standartlarını da hedef almasıyla daha da yaygınlaşacağını belirtiyor.
İkinci sıfırıncı gün açığı ise CVE-2026-50507 olarak kaydedilen Windows BitLocker güvenlik özelliği atlatma zafiyeti. Action1 güvenlik araştırmaları direktörü Jack Bicer, bu açığın fiziksel erişime sahip bir saldırganın, BitLocker şifrelemesini atlayarak cihazdaki şifrelenmiş verilere erişmesine izin verdiğini açıkladı. Bu durum, özellikle uç nokta şifrelemesinin uyumluluk gerektirdiği ortamlarda ciddi sonuçlar doğurabilir: gizli iş bilgilerinin, müşteri verilerinin, fikri mülkiyetin ve düzenlenmiş verilerin ifşa olması, ayrıca mevzuat cezaları, itibar kaybı ve mali zararlara yol açabilir.
Üçüncü sıfırıncı gün açığı, Windows Collaborative Translation Framework (CTFMON) bileşeninde bulunan bir ayrıcalık yükseltme (EoP) zafiyeti. CVE-2026-45586 olarak izlenen bu açık, 'link following' (bağlantı takibi) hatasından kaynaklanıyor ve yerel, kimliği doğrulanmış bir saldırganın sistem düzeyinde ayrıcalıklar elde etmesine olanak tanıyor. Action1 kurucu ortağı Alex Vovk, 'Düşük ayrıcalıklı bir erişim, Windows yanlış bağlantıyı takip ettiğinde tam sistem kontrolüne dönüşebilir' uyarısında bulunuyor. Bu açık, kötü amaçlı yazılım yükleme, savunma atlatma, kimlik bilgisi hırsızlığı ve ağ içinde yanal hareket gibi saldırılara zemin hazırlayabilir.
Nasıl Önlem Alınmalı?
Bu ay yamalanan toplam 200 CVE içinde en fazla sayıda ayrıcalık yükseltme (EoP) zafiyeti bulunuyor (65 adet). Onu sırasıyla uzaktan kod çalıştırma (55), bilgi ifşası (30), kimlik sahtekarlığı (27) ve güvenlik özelliği atlatma (19) zafiyetleri takip ediyor. Sistem yöneticilerinin öncelikle yamalaması gereken kritik açıklar arasında, Microsoft Exchange Server, Windows DNS ve Hyper-V gibi bileşenlerdeki RCE zafiyetleri de bulunuyor. Özellikle HTTP/2 Bomb açığı, internet üzerinden erişilebilen web sunucuları için acil bir tehdit oluşturuyor.
Gelecekte Ne Bekleniyor?
Sistem yöneticileri, bu güncellemeleri mümkün olan en kısa sürede uygulamalı, özellikle sıfırıncı gün açıklarına karşı savunmasız sistemleri önceliklendirmelidir. BitLocker atlatma açığı, fiziksel güvenlik önlemlerinin yanı sıra yazılım güncellemelerinin de önemini bir kez daha hatırlatıyor. Ayrıca, HTTP/2 Bomb gibi DoS zafiyetlerine karşı ağ düzeyinde sınırlama ve izleme mekanizmaları devreye alınmalıdır. Microsoft'un bu ayki güncellemeleri, kurumsal ağların güvenliğini sağlamak için kritik bir adım niteliğinde.
Kaynak: infosecurity-magazine.com