Microsoft Temmuz 2026 Patch Tuesday: Tarihin En Büyük Güvenlik Güncellemesi 621 CVE Yazılım

Microsoft Temmuz 2026 Patch Tuesday: Tarihin En Büyük Güvenlik Güncellemesi 621 CVE

Microsoft'un Temmuz 2026 Patch Tuesday sürümü, 621 CVE ile tarihin en büyük aylık güvenlik güncellemesi oldu. Aktif istismar edilen iki sıfırıncı gün

Microsoft, Temmuz 2026 Patch Tuesday kapsamında 621 yeni CVE (Ortak Güvenlik Açığı ve Etkilenme) yayınlayarak kendi rekorunu kırdı. Bu, şirket tarihindeki en büyük tek aylık güvenlik güncellemesi olarak kayıtlara geçti. Zero Day Initiative (ZDI) tarafından yapılan analize göre, yılbaşından bu yana düzeltilen CVE sayısı, son yirmi yıldaki tüm tam yıl toplamlarını geride bıraktı. Bu rakamlara, ayrıca düzeltilen Chromium ve Microsoft Edge hatalarındaki yaklaşık 480 ek kusur dahil değil. Microsoft'a özgü düzeltmelerin 63'ü Kritik, 6'sı Orta, 1'i Düşük ve geri kalanı Önemli olarak sınıflandırıldı. İki güvenlik açığının aktif olarak istismar edildiği, birinin ise kamuoyunda bilindiği belirtildi.

Ürün yelpazesi de dikkat çekici. Bu ayki yamalar; Windows ve bileşenleri, Office, Microsoft Edge, Azure, .NET, Visual Studio, GitHub Copilot, Defender, Exchange Server, Hyper-V ve sürpriz bir şekilde Age of Empires II ile Minecraft Server'ı kapsıyor. Sekiz hata, ZDI'nin kendi raporlama programı aracılığıyla geldi. ZDI raporunda, 'Yılbaşından bugüne CVE sayısı diğer tüm yılların toplamını aştı. Bu karmaşanın nasıl sayılacağı herkesin tahminine kalmış.' ifadesine yer verildi.

Aktif olarak istismar edilen iki güvenlik açığından ilki, CVE-2026-56155: Active Directory Federation Services (AD FS)'te bir ayrıcalık yükseltme kusuru. Yerel erişim ve düşük ayrıcalıklar gerektiriyor; bu, sınırlı bir tehdit gibi görünse de AD FS'nin kimlik altyapısı olduğu unutulmamalı. Ağa sızmış saldırganlar, yanal ve yukarı yönlü hareket için tam olarak bu tür hataları kullanır. ZDI, bu kusurun bir uzaktan kod yürütme açığıyla birleştirilebileceğini ve fidye yazılımı saldırılarında sıklıkla görüldüğünü belirtiyor. Acilen yamalanması gerekiyor.

İkinci aktif istismar edilen açık ise CVE-2026-56164: SharePoint Server'da bir ayrıcalık yükseltme güvenlik açığı. CVSS puanı yalnızca 5.3 (Orta), bu nedenle bazı kuruluşlar bunu düşük öncelikli olarak değerlendirmiş olabilir. Ancak bu bir hata olur. Kimlik doğrulama eksikliği, kullanıcı etkileşimi olmadan kimliği doğrulanmamış uzaktan saldırılara olanak tanıyor. Aktif istismar, CVSS puanı ne olursa olsun hemen yama yapılmasını zorunlu kılıyor.

Sonuç ve Değerlendirme

Bu ayın en yüksek şiddetli kusuru, CVE-2026-57092 olarak izlenen kritik bir Microsoft Windows VMSwitch Ayrıcalık Yükseltme Güvenlik Açığı. CVSS puanı 9.9 olan bu kusur, kullan-after-free (kullandıktan sonra serbest bırakma) türünde olup düşük ayrıcalıklı bir saldırganın sanal makine sınırını aşarak ana bilgisayarı tamamen ele geçirmesine olanak tanıyor. Hyper-V dağıtımlarınızda VMSwitch kullanıyorsanız (ki neredeyse kesinlikle kullanıyorsunuzdur), bu acil bir öncelik.

Diğer önemli düzeltmeler arasında CVE-2026-50522 ve CVE-2026-58644 (SharePoint RCE, CVSS 9.8, kimlik doğrulamasız), CVE-2026-56190 (RDP Sunucusunda kimlik doğrulamasız RCE, CVSS 9.8), CVE-2026-55008 (Exchange Server'da saklanmış XSS, CVSS 9.6) ve CVE-2026-50518 (Windows DHCP Sunucusunda heap-based buffer overflow, CVSS 9.8) yer alıyor. Özellikle CVE-2026-50522, Pwn2Own Berlin'de canlı olarak sergilendi, yani Microsoft'a çalışan bir istismar teslim edildi. Buna rağmen danışma belgesinde istismar olgunluğu 'bilinmiyor' olarak işaretlenmiş. RDP sunucuları her zaman favori hedeflerdir; internet'e açık olanları denetleyin ve önceliklendirin. Exchange Server'daki XSS kusurunda, Outlook Web Access'te açılan özel hazırlanmış bir e-posta, ek veya kullanıcı etkileşimi olmadan kurbanın tarayıcı oturumunda JavaScript çalıştırabiliyor. DHCP sunucuları internet'e açık olmamalıdır, ancak öyleyse bu kusurlar listenin en üstüne çıkmalıdır.

Kaynak: securityaffairs.com

Paylaş: