Microsoft Rekor Kırdı: Tek Günde 570 Güvenlik Açığı Yamalandı Yazılım

Microsoft Rekor Kırdı: Tek Günde 570 Güvenlik Açığı Yamalandı

Microsoft, Temmuz 2026 Patch Tuesday'de 570 CVE'yi yamalayarak rekor kırdı. Yapay zeka destekli güvenlik açığı tespitiyle yeni dönem başlıyor.

Microsoft, 14 Temmuz 2026'da gerçekleştirdiği Patch Tuesday güncellemesinde tam 570 güvenlik açığını (CVE) yamalayarak tüm zamanların rekorunu kırdı. Bu devasa yama dalgası, teknoloji devinin daha önce yaptığı 'ajan AI' kullanarak yeni güvenlik açıkları bulacağı ve bunun müşteriler için daha fazla güncelleme anlamına geleceği uyarısının ardından geldi. Uzmanlar, bu durumun yeni normal olduğunu ve önümüzdeki dönemde benzer hacimlerin devam edeceğini belirtiyor.

Bugcrowd'un baş strateji ve güven sorumlusu Trey Ford, bu durumu 'yeni normal' olarak nitelendirirken, asıl hikayenin ekonomik olduğunu vurguladı. Ford'a göre, yapay zeka güvenlik açığı bulma maliyetini çökertti ve bu hacim artışı bir tavan değil, yeni bir taban. Şirket liderlerinin aylık yama hacmini sürpriz olarak görmeyi bırakıp, bunu sabit bir işletme maliyeti olarak finanse etmeleri gerektiğini belirten Ford, bu girişin bir süre daha azalmayacağını ifade etti.

Temmuz Patch Tuesday'de yamalanan güvenlik açıkları arasında üç sıfır gün (zero-day) açığı bulunuyor ve bunlardan ikisi gerçek dünyada aktif olarak kullanılmış durumda. CVE-2026-56155, Active Directory Federation Services'ta bir ayrıcalık yükseltme (EoP) açığı olup, yetkili bir saldırganın yerel olarak ayrıcalıklarını yükseltmesine olanak tanıyor. Rapid7'den Adam Barnett, bu açıkla ilgili diğer sekiz güvenlik açığının da aynı gün yayımlandığını ve hepsinin 'Önemli' olarak derecelendirildiğini belirtti.

İkinci istismar edilen sıfır gün açığı CVE-2026-56164 olup, yine bir EoP açığı ancak bu kez Microsoft SharePoint Server'da bulunuyor. Microsoft, bu açığın düşük karmaşıklıkta olduğunu ve saldırganın herhangi bir ön yetkiye ihtiyaç duymadığını belirtti. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kuruluşları bu ve yılın başlarında yayımlanan diğer iki güvenlik açığına karşı SharePoint sistemlerini güçlendirmeye çağırdı.

Sonuç ve Değerlendirme

Kamuya açıklanan üçüncü sıfır gün açığı ise CVE-2026-50661: Windows BitLocker güvenlik özelliği atlatma açığı. Bu açık, yetkisiz bir saldırganın hedef cihaza fiziksel erişim sağlaması durumunda şifrelenmiş verilere erişmesine olanak tanıyor. Toplamda, Temmuz Patch Tuesday'de 254 EoP, 145 uzaktan kod yürütme (RCE) ve 102 bilgi ifşası açığı yamalandı. Bunlardan 59'u kritik olarak derecelendirilirken, kritik açıkların büyük çoğunluğu (48) RCE açıklarıydı.

Nasıl Önlem Alınmalı?

Microsoft'un yanı sıra Google da bu ay Edge/Chromium'da 460'tan fazla açığı düzeltti ve Adobe, yama döngüsünü ayda ikiye çıkardı. Qualys'ten Mayuresh Dani, bu trendin tahmin edildiğini ve kanıtlarının görüldüğünü belirterek, yapay zeka modelleri geliştikçe yama hacminin artmaya devam edeceğini ancak zamanla yavaşlayacağını söyledi. Dani, 'Otomatik fuzzing, LLM destekli varyant avcılığı ve büyük ölçekli statik analiz, hataları işletmelerin düzeltebileceğinden daha hızlı buluyor' dedi. Qualys, kuruluşları bu yeni döneme hazırlıklı olmaya çağırdı.

Kaynak: infosecurity-magazine.com

Paylaş: