Microsoft, Haziran Yaması Salı Günü'nde 200 CVE'yi Düzeltti Yazılım

Microsoft, Haziran Yaması Salı Günü'nde 200 CVE'yi Düzeltti

Sistem yöneticileri, Microsoft'un kamuya açıklanan üç sıfır gün Haziran Salı Yaması da dahil olmak üzere 200 güvenlik açığını düzeltmek için güncellem...

Sistem yöneticileri, Microsoft'un kamuya açıklanan üç sıfır gün Haziran Salı Yaması da dahil olmak üzere 200 güvenlik açığını düzeltmek için güncellemeler yayınlamasının ardından yoğun bir birkaç hafta içindeler.

Çoğu (28) uzaktan kod yürütme (RCE) hatasıyla birlikte toplam 33 kritik CVE ele alındı.

En dikkate değer sıfır günlerden biri, “HTTP/2 Bombası” olarak da bilinen CVE-2026-49160'tır.

Nasıl Önlem Alınmalı?

Bu, yapay zeka destekli araştırma araçları tarafından keşfedilen ve tek bir ev bilgisayarına sahip bir saldırganın web sunucularını 20 saniye kadar kısa bir sürede devre dışı bırakmasına olanak tanıyan bir hizmet reddi (DoS) güvenlik açığıdır.

Rapid7'nin baş yazılım mühendisi Adam Barnett şöyle açıklıyor: "Ara sıra, HTTP/2 ve HTTP/3 standartlarını uygulayan web sunucularını etkileyen yeni bir hizmet reddi güvenlik açıkları ortaya çıkıyor."

"CVE-2026-49160'ı keşfedenler de dahil olmak üzere araştırmacılar, yalnızca belirli yazılımları değil aynı zamanda yazılımın dayandığı standartları da araştırmak için Yüksek Lisans yeteneğindeki ilerlemeleri kullandıkça, bu güvenlik açıkları sınıfının daha da genişlemesi muhtemeldir."

Salı Yaması hakkında daha fazlasını okuyun: Microsoft, Mayıs Salı Yaması'nda 17 Kritik Kusuru Düzeltti

Sonuç ve Değerlendirme

İkinci sıfır gün düzeltmesi, Windows BitLocker güvenlik özelliğinin atlama güvenlik açığı olan CVE-2026-50507'dir.

Action1 güvenlik açığı araştırması direktörü Jack Bicer, hatanın, savunmasız bir sisteme fiziksel erişimi olan bir saldırganın önemli bir güvenlik özelliğini atlamasına ve cihazda depolanan şifrelenmiş verilere erişim sağlamasına olanak verebileceğini söyledi.

"Başarılı bir bypass, bu güvenlik kontrolünü zayıflatır ve gizli iş bilgilerini, müşteri verilerini, fikri mülkiyeti, mali kayıtları ve düzenlemeye tabi verileri açığa çıkarabilir" diye ekledi.

Gelecekte Ne Bekleniyor?

"Uç nokta şifrelemenin bir uyumluluk gerekliliği olduğu ortamlarda, istismar, mevzuatın açığa çıkmasına, bildirim yükümlülüklerinin ihlaline, itibarın zarar görmesine ve mali kayıplara neden olabilir."

Detaylar ve Etkileri

Üçüncü sıfır gün, Windows İşbirliğine Dayalı Çeviri Çerçevesi'ndeki (CTFMON) bir ayrıcalık yükselmesi (EoP) kusurudur.

Action1 kurucu ortağı Alex Vovk, CVE-2026-45586'nın "bağlantı takibinden" kaynaklandığını ve kimliği doğrulanmış yerel bir saldırganın sistem ayrıcalıkları kazanmasına olanak verebileceği konusunda uyardı.

Uzmanların Görüşleri

"Windows yanlış zamanda yanlış bağlantıyı takip ettiğinde, düşük ayrıcalıklı bir dayanak noktası tam sistem kontrolü haline gelebilir" diye ekledi.

"Sistem erişimi, kötü amaçlı yazılım kurulumuna, savunmadan kaçınmaya, kimlik bilgileri hırsızlığına, veri değişikliğine ve ortam genelinde daha derin harekete izin verebilir. İşletmeler için bu, kimlik avının, çalınan kimlik bilgilerinin veya güvenliği ihlal edilmiş standart kullanıcı hesaplarının etkisini artırabilir."

Öncelik Verilecek Yamalar

Genel olarak, EoP güvenlik açıkları bu ay en yaygın olanıydı ve 65 CVE'yi oluşturuyordu. RCE hataları (55), bilgilerin ifşa edilmesi (30), kimlik sahtekarlığı (27) ve güvenlik özelliği atlama güvenlik açıkları (19) ilk beşi tamamladı.

Sistem Güvenliği

Bu ay öncelik verilecek diğer CVE'ler şunları içerir:

Paylaş: