Microsoft, Haziran 2025 Patch Tuesday güncellemeleriyle birlikte tam 200 güvenlik açığını kapattı. Bu açıklardan 33'ü kritik olarak sınıflandırılırken, 28'i uzaktan kod çalıştırma (RCE) zafiyeti olarak dikkat çekiyor. En önemlisi, üç sıfırıncı gün (zero-day) açığının kamuya duyurulmuş olması, sistem yöneticileri için acil eylem gereksinimi doğuruyor. Özellikle HTTP/2 Bomb olarak bilinen CVE-2026-49160, yapay zeka destekli araçlarla keşfedilen bir hizmet reddi (DoS) zafiyeti olarak öne çıkıyor.
CVE-2026-49160, "HTTP/2 Bomb" adıyla anılan bu zafiyet, HTTP/2 ve HTTP/3 protokollerini kullanan web sunucularını hedef alıyor. Rapid7'nin kıdemli yazılım mühendisi Adam Barnett'e göre, bu tür DoS zafiyetleri, büyük dil modellerindeki (LLM) ilerlemeler sayesinde daha sık keşfedilmeye başlandı. Saldırgan, tek bir ev bilgisayarıyla bile hedef sunucuyu 20 saniye gibi kısa bir sürede çalışamaz hale getirebiliyor. Bu, özellikle e-ticaret, bankacılık ve kritik altyapı hizmetleri için ciddi bir iş sürekliliği tehdidi oluşturuyor.
İkinci sıfırıncı gün açığı CVE-2026-50507, Windows BitLocker güvenlik özelliğini atlatan bir zafiyet. Action1 güvenlik araştırmacısı Jack Bicer, fiziksel erişimi olan bir saldırganın bu açığı kullanarak şifrelenmiş verilere erişebileceğini belirtiyor. BitLocker, özellikle kurumsal cihazlarda veri koruması için kritik bir bileşen olduğundan, bu zafiyetin istismarı müşteri verileri, fikri mülkiyet ve finansal kayıplara yol açabilir. Ayrıca, uyumluluk gerekliliklerini ihlal ederek yasal yaptırımları da beraberinde getirebilir.
Gelecekte Ne Bekleniyor?
Üçüncü sıfırıncı gün açığı CVE-2026-45586 ise Windows Collaborative Translation Framework (CTFMON) bileşeninde bir ayrıcalık yükseltme (EoP) zafiyeti. Action1 kurucu ortağı Alex Vovk'a göre, bu "link takip" hatası, yerel kimliği doğrulanmış bir saldırganın sistem seviyesinde yetki kazanmasına olanak tanıyor. Düşük yetkili bir hesap ele geçirildiğinde, saldırgan bu açıkla tam sistem kontrolüne ulaşabiliyor. Bu durum, kötü amaçlı yazılım yükleme, savunma atlatma, kimlik bilgisi çalma ve ağ içinde yanal hareket gibi riskleri beraberinde getiriyor.
Detaylar ve Etkileri
Microsoft'un bu ay kapattığı açıklar arasında en yaygın kategori ayrıcalık yükseltme zafiyetleri oldu (65 CVE). Bunu 55 RCE, 30 bilgi ifşası, 27 sahtecilik ve 19 güvenlik özelliği atlatma açığı takip etti. Ayrıca, bu ay öncelik verilmesi gereken diğer önemli CVE'ler arasında Windows Hyper-V, Microsoft Office ve Exchange Server'daki kritik açıklar bulunuyor. Sistem yöneticilerinin, özellikle internet'e açık sunucularda HTTP/2 Bomb zafiyetine karşı acilen güncelleme yapmaları öneriliyor.
Önemli Gelişmeler
Bu güncellemelerin kurumsal ağlarda uygulanması, özellikle hassas veri işleyen sistemler için hayati önem taşıyor. Güvenlik ekipleri, BitLocker zafiyetinin fiziksel erişim gerektirdiğini ancak kurumsal cihazların kaybolması veya çalınması durumunda ciddi sonuçlar doğurabileceğini unutmamalı. Ayrıca, CTFMON zafiyeti, düşük yetkili hesapların yaygın olduğu ortamlarda daha büyük bir tehdit oluşturuyor. Bu nedenle, en kısa sürede test ortamlarında doğrulama yapılarak yamaların üretim sistemlerine dağıtılması öneriliyor.
Kaynak: infosecurity-magazine.com