Microsoft, yeni bir bültende güvenlik araştırmacılarını, şirketin ürünlerindeki güvenlik açıklarını yamalar yayınlanmadan önce ve önceden haber vermeksizin kamuya açıkladıkları için eleştirdi.
Teknoloji devi, bu "koordinesiz açıklamaların müşterilerimizi gereksiz riske soktuğunu" söyledi.
Yamalardan Önce Altı Microsoft Sıfır Günü Açıklandı
27 Mayıs'ta yayınlanan açıklamada "sorumlu bir şekilde açıklanmayan" altı güvenlik açığından bahsedildi. Bunlar:
'Kızıl Güneş' (CVE-2026-41091): Microsoft Defender'da bir ayrıcalık yükseltme güvenlik açığı (CVSS: 7.8)
Detaylar ve Etkileri
'BlueHammer' (CVE-2026-45498): Microsoft Defender'daki başka bir ayrıcalık yükseltme güvenlik açığı (CVSS: 7.8)
'YellowKey' (CVE-2026-45585): Windows BitLocker'da bir güvenlik özelliği atlama güvenlik açığı (CVSS: 6.8)
Sonuç ve Değerlendirme
'Undefend' (CVE-2026-45498): Microsoft Defender'daki bir hizmet reddi güvenlik açığı (CVSS: 4.0)
Windows BitLocker'da bir ayrıcalık yükseltme güvenlik açığı olan 'GreenPlasma'
Uzmanların Görüşleri
Windows Bulut Filtresi sürücüsünde bir ayrıcalık yükseltme güvenlik açığı olan 'MiniPlasma'
Bu koordinesiz açıklamalar nedeniyle, Microsoft güvenlik ekipleri bu güvenlik açıklarını araştırmak, hafifletici önlemler geliştirmek ve güvenlik yamaları üzerinde çalışmak için "24 saat çalışıyor".
Sistem Güvenliği
Bu arada, hileli açıklamalar, Microsoft'un "hiçbir zaman haklı gösterilemeyeceğini" söylediği "yamalı güvenlik açıkları için kavram kanıtı [istismar] kodunun kötü aktörlerin ellerine verilmesine" olanak tanıdı.
Şirket, "Bu eylemlere ve müşterilerimize ve dijital ekosisteme zarar verebilecek uygun koordinasyon dışında yapılan herhangi bir açıklamaya kesinlikle karşı çıkıyoruz" dedi.
Gelecekte Ne Bekleniyor?
Microsoft Sorumlu Açıklamaları Çağırıyor
Şirket, güvenlik araştırmacılarını endüstri standardı koordineli güvenlik açığı açıklama (CVD) prosedürlerini takip etmeye teşvik etti; burada güvenlik açığı bulucusu ve güvenlik açığı bulunan ürünlerin sahibi, güvenlik açığı kamuya açıklanmadan önce ikincisinin yamalar geliştirmesine izin vermek için bir ambargo süresi (genellikle 90 gün) düzenler.
Bunun karşılığında, araştırmacı genellikle güvenlik açığını bulduğu için itibar kazanır ve katkılarından dolayı tazminat alır.
Devamını oku: Yazılım Güvenlik Açığı Nasıl Açıklanır, Raporlanır ve Yamalanır
Nasıl Önlem Alınmalı?
CVD süreçleri genellikle hata ödül programları, kitle kaynaklı hata arama platformları ve spontan güvenlik açığı raporlama faaliyetleri yoluyla benimsenmiştir.
Microsoft, "Her yıl CVD aracılığıyla yüzlerce güvenlik araştırmacısıyla çalışıyoruz" dedi.
Önemli Gelişmeler
Şirket, "Bu ortaklık, kavram kanıtlama kodu kötü aktörlerin eline geçmeden önce etkilenen hizmetlerde güncellemeler yapmamıza olanak tanıyor. Bu değerli ortaklık sayesinde, aynı zamanda araştırmacıların sorumlu açıklamaları için tazminat almasını ve uzmanlıklarının kamuya duyurulmasını da sağlıyoruz" diye ekledi.
"Her zaman her konuda aynı fikirde olamayacağımızın farkındayız ancak şeffaflığa kararlıyız ve diyalog fırsatları yaratmaya devam ediyoruz."
Bir dizi blog yazısında, Microsoft bülteninde bahsedilen altı güvenlik açığının arkasında olduğunu iddia eden bir kişi, Microsoft'un ifşa hesaplarını sildiğini, onlara asla tazminat ödemediğini, bir danışma belgesinde kendilerine iftira attığını ve kendilerini tehdit ettiğini iddia etti.
Teknik Analiz
Bu iddialar bu yazının yazıldığı sırada doğrulanmamıştı.
AI Boom 90 Günlük Açıklama Kuralını Baskı Altına Aldı
Ancak son zamanlarda siber güvenlik sektörünün öne çıkan sesleri geleneksel CVD modelinin yeniden tasarlanması gerektiği konusunda uyarmaya başladı ve bazıları standart 90 günlük ambargonun fiilen sona erdiğini ilan etti.
Uzmanlar, Anthropic'in Claude Mythos ve OpenAI'nin GPT5.5-Cyber'ı gibi gelişmiş yapay zeka araçlarının yönlendirdiği güvenlik açığı araştırmalarının muazzam hızlanmasına uyum sağlamak için bu açıklama pencerelerinin büyük ölçüde daralması gerektiğini savunuyor.
Infosecurity'ye konuşan Anchore'un güvenlikten sorumlu başkan yardımcısı Josh Bressers, CVD ölmediyse sağlıklı olmadığını söyledi.
"CVD her zaman insan ağırlıklı bir süreç olmuştur. Ancak artık güvenlik açıkları katlanarak artıyor - hatta yapay zekanın saldırısından önce bile - ancak güvenlik ekiplerimizin çoğu uzun süredir sabit durumda. En iyi ihtimalle bunların doğrusal olarak ölçeklendiğini görebilirsiniz" dedi.
VulnCheck'teki güvenlik açığı araştırmacısı Patrick Garrity'ye göre CVD prosedürü hala değerli ve gerekli ve 90 günlük pencere çoğu durumda hala geçerli olabilir, ancak "istismarın halihazırda mevcut olduğu veya büyük olasılıkla gerçekleştiği" gibi bazı durumlarda zaman çizelgelerinin önemli ölçüde hızlandırılması gerekebilir.
RogoLabs'ın kurucusu ve Cisco'da tehdit algılama ve yanıttan sorumlu eski baş mühendis olan Jerry Gamblin, CVD'nin yararlılığına inanıyor ancak bu konuda daha şüpheci. 90 günlük pencerenin geleceği hakkında önemli bilgiler.
"Bir güvenlik açığını silah haline getirmenin haftalar sürdüğü bir dünya için tasarlandı. Savunma penceresi sadece daralmadı; birçok durumda tersine döndü" dedi.
Bressers, açık kaynak katkıda bulunanlar, güvenlik araştırmacıları ve endüstri arasında daha iyi bir işbirliğinin olması gerektiğine inanıyor. "Tarihsel olarak güvenlik çalışanları başkalarıyla iyi çalışmamıştır, gizlilik çok önemliydi. Ancak bu gizlilik aynı zamanda güvenlik açıklarının ele alınmasını ilgili herkes için çok kaynak yoğun hale getirdi" diye ekledi.
Gamblin, "Düzenleyiciler bu soruyu bizim adımıza zaten yanıtlamış olabilir" dedi.
"AB Siber Dayanıklılık Yasası 72 saatlik bir bildirim penceresi gerektiriyor ve eğer bu küresel temel haline gelirse 90 günlük standart bir kalıntı gibi görünmeye başlayacak" dedi.
"Cevap, koordinasyonu terk etmek değil. Zaman çizelgesini gerçek tehdit hızına uyacak şekilde kademeli olarak ayarlamaktır: aktif olarak yararlanılan kritik güvenlik açıkları için yedi gün, daha düşük önemdeki bulgular için tavan olarak 90 gün, belirleyici değişken olarak tedarikçinin yanıt vermesi. Eminim bunu çözeceğiz, ancak acı ve ıstırap olmadan önce değil."
Bu makale, söz konusu altı güvenlik açığının bulunmasının arkasında olduğunu iddia eden bir kişinin iddialarına değinmek ve güvenlik açığı araştırma uzmanlarının yorumlarını eklemek üzere 29 Mayıs'ta güncellendi.
Şimdi okuyun: Mythos ve GPT-Cyber Gibi Fronter Yapay Zeka Modelleri Modern Siber Güvenlik İçin Ne Anlama Geliyor?