Microsoft Mayıs Ayı Yamalarıyla 17 Kritik Güvenlik Açığını Kapattı Linux

Microsoft Mayıs Ayı Yamalarıyla 17 Kritik Güvenlik Açığını Kapattı

Microsoft, Mayıs Patch Tuesday kapsamında 17'si kritik olmak üzere 120 güvenlik açığını düzeltti. Yeni yapay zeka sistemi 16 zafiyeti keşfetti.

Microsoft, Mayıs ayı Patch Tuesday güncellemesiyle 120 CVE'yi kapatarak güvenlik duvarını güçlendirdi. Bu güncellemede 17 kritik güvenlik açığı bulunuyor; bunlardan 14'ü uzaktan kod yürütme (RCE), ikisi ayrıcalık yükseltme (EoP) ve biri bilgi ifşası zafiyeti. Toplamda 120 CVE'nin 61'i EoP, 31'i RCE ve 14'ü bilgi ifşası olarak sınıflandırıldı.

Rapid7'den Adam Barnett, domain controller güvenliğinden sorumlu herkesin CVE-2026-41089'a öncelik vermesi gerektiğini vurguladı. Bu, Windows Netlogon'da kritik bir stack-based buffer overflow zafiyeti ve CVSS puanı 9.8. Barnett, "Herhangi bir ayrıcalık veya kullanıcı etkileşimi gerektirmiyor, saldırı karmaşıklığı düşük. Bu, güvenilir bir istismarın özellikle zor olmayacağını gösteriyor" dedi. Ayrıca sysadmin'lerin CVE-2026-41096'yı (Windows DNS istemcisinde kritik RCE, CVSS 9.8) dikkate alması gerekiyor. Action1'den Jack Bicer, "DNS kurumsal ağlarda kullanılan temel bir hizmet olduğu için istismar hızla yayılabilir; uç nokta ele geçirme, fidye yazılımı ve kimlik avına yol açabilir" uyarısında bulundu.

Bicer ayrıca CVE-2026-42898'i işaret etti: Microsoft Dynamics 365 On-Premises'ta kritik bir RCE. Düşük ayrıcalıklı kimliği doğrulanmış bir saldırgan, Dynamics CRM'de oturum verilerini manipüle ederek ağ üzerinden kötü amaçlı kod çalıştırabilir. "Hiçbir kullanıcı etkileşimi gerekmez ve etki, güvenlik kapsamını aşabilir. Bu, iş uygulaması sunucusunu uzaktan yürütme platformuna dönüştürebilir" dedi. Rapid7'den Barnett, Microsoft'un Windows Attack Research and Protection (WARP) ekibinin birden fazla kritik güvenlik açığını bulduğunu belirterek, yapay zeka destekli güvenlik araştırmalarında önemli ilerleme kaydedildiğini öne sürdü.

Sistem Güvenliği

Microsoft, 12 Mayıs'ta yayınladığı blog yazısında WARP'ın yeni bir yapay zeka girişimi olan MDASH (multi-model agentic security harness) ile işbirliği yaparak 16 CVE keşfettiğini açıkladı. Taesoo Kim, MDASH'ın 100'den fazla uzman ajan kullandığını ve farklı modeller arasında tartışma yaratarak yeni güvenlik açıklarını bulduğunu belirtti. "Modeller arasındaki anlaşmazlık bir sinyaldir: denetçi şüpheli bir şey bulduğunda ve tartışmacı çürütemediğinde, bulgunun güvenilirliği artar" dedi. Bu yenilikçi yaklaşım, yapay zekanın siber güvenlikteki rolünü bir adım öteye taşıyor.

Paylaş: