Microsoft Mayıs 2025 Patch Tuesday: 17 Kritik Güvenlik Açığı Kapatıldı, 16'sı Yapay Zeka ile Bulundu Yazılım

Microsoft Mayıs 2025 Patch Tuesday: 17 Kritik Güvenlik Açığı Kapatıldı, 16'sı Yapay Zeka ile Bulundu

Microsoft, Mayıs Patch Tuesday kapsamında 120 güvenlik açığını kapatırken 17 kritik zafiyeti giderdi. Bunların 16'sı yeni çok modelli yapay zeka siste

Microsoft, Mayıs 2025 Patch Tuesday güncellemelerini yayınladı. Bu ay toplam 120 CVE (Ortak Güvenlik Açığı ve Etkilenme) düzeltilirken, bunlardan 17'si kritik seviyede değerlendirildi. Kritik açıkların 14'ü uzaktan kod çalıştırma (RCE), 2'si ayrıcalık yükseltme (EoP) ve 1'i bilgi ifşası olarak sınıflandırıldı. Toplamda ise açıkların çoğunluğu 61 ile EoP, 31 ile RCE ve 14 ile bilgi ifşası şeklinde dağıldı.

Rapid7'den kıdemli yazılım mühendisi Adam Barnett, domain denetleyicilerinden sorumlu herkesi CVE-2026-41089 kodlu kritik Netlogon açığına öncelik vermeye çağırdı. Bu açık, Windows Netlogon'da yığın tabanlı bir tampon taşması olup CVSS v3 puanı 9.8'dir. Barnett, saldırganın herhangi bir yetki veya kullanıcı etkileşimi olmadan domain denetleyicisinde sistem yetkisi elde edebileceğini ve saldırı karmaşıklığının düşük olması nedeniyle güvenilir bir istismar oluşturmanın özellikle zor olmayacağını belirtti.

Sistem yöneticilerinin dikkat etmesi gereken bir diğer kritik açık ise CVE-2026-41096 kodlu Windows DNS istemcisindeki RCE zafiyeti. Action1 güvenlik araştırmaları direktörü Jack Bicer, DNS'in kurumsal ağlarda temel bir hizmet olması nedeniyle bu açığın geniş çapta etki yaratabileceğini vurguladı. Ayrıca Microsoft Dynamics 365 On-Premises'teki CVE-2026-42898 kodlu kritik RCE açığına dikkat çeken Bicer, düşük yetkili kimliği doğrulanmış bir saldırganın kullanıcı etkileşimi gerektirmeden Dynamics CRM'de oturum verilerini manipüle ederek kötü amaçlı kod çalıştırabileceğini ifade etti.

Bu ayki Patch Tuesday'de dikkat çeken bir gelişme ise 16 güvenlik açığının yeni bir yapay zeka sistemi tarafından keşfedilmiş olması. Microsoft'un Windows Saldırı Araştırma ve Koruma (WARP) ekibi, Otonom Kod Güvenliği (ACS) ile birlikte MDASH kod adlı çok modelli bir ajan güvenlik sistemi geliştirdi. Microsoft ajan güvenliği başkan yardımcısı Taesoo Kim, sistemin 100'den fazla özelleştirilmiş ajan kullanarak farklı modeller arasındaki anlaşmazlıkları analiz ettiğini ve bu sayede yeni zafiyetleri tespit ettiğini açıkladı.

Paylaş: