Microsoft, yayımladığı yeni bir bültende güvenlik araştırmacılarını sert bir dille eleştirdi. Şirket, ürünlerindeki güvenlik açıklarının yamalar hazırlanmadan ve önceden haber verilmeden kamuya ifşa edilmesinin 'müşterileri gereksiz riske attığını' belirtti. Bu açıklama, son dönemde artan koordinasyonsuz bildirimlerin yol açtığı endişeleri gözler önüne seriyor.
Bültende, 'sorumlu bir şekilde ifşa edilmediği' belirtilen altı zafiyete yer verildi. Bunlar arasında Microsoft Defender’da ayrıcalık yükseltme (CVE-2026-41091, CVE-2026-45498), Windows BitLocker’da güvenlik özelliği atlatma (CVE-2026-45585), yine Defender’da hizmet reddi (CVE-2026-45498) ve Windows Cloud Filter sürücüsünde ayrıcalık yükseltme açıkları bulunuyor. Microsoft, bu açıklar nedeniyle güvenlik ekiplerinin 'gece gündüz' çalıştığını ve geçici önlemler geliştirdiğini ifade etti.
Microsoft, koordinasyonsuz bildirimlerin kanıtlanmış istismar kodlarını kötü niyetli aktörlerin eline verdiğini ve bunun 'asla haklı gösterilemeyeceğini' vurguladı. Şirket, araştırmacıları endüstri standardı olan Koordineli Güvenlik Açığı Bildirimi (CVD) prosedürlerine uymaya çağırdı. CVD sürecinde, açığı bulan kişi ile ürün sahibi arasında tipik olarak 90 günlük bir ambargo süresi belirlenir ve bu sürede yama geliştirilir. Araştırmacılar da genellikle ödüllendirilir ve kamuoyunda takdir edilir.
Her yıl yüzlerce güvenlik araştırmacısıyla CVD kapsamında çalıştıklarını belirten Microsoft, bu ortaklığın istismar kodları kötü niyetli aktörlerin eline geçmeden önce güncellemeler yapılmasını sağladığını söyledi. Şirket, 'Her konuda hemfikir olamayacağımızın farkındayız, ancak şeffaflığa bağlıyız ve diyalog için fırsatlar yaratmaya devam ediyoruz' ifadelerini kullandı.
Nasıl Önlem Alınmalı?
Öte yandan, altı açığın arkasında olduğunu iddia eden bir kişi, Microsoft'un ifşa hesabını sildiğini, kendisini ödüllendirmediğini, bültende karaladığını ve tehdit ettiğini öne sürdü. Bu iddialar henüz doğrulanmış değil. Bu olay, CVD sürecindeki güven sorunlarını ve araştırmacı-şirket ilişkilerindeki gerilimi gösteriyor.
Siber güvenlik uzmanları, geleneksel CVD modelinin yeniden düşünülmesi gerektiğini savunuyor. Özellikle yapay zeka araçlarının (Anthropic’in Claude Mythos, OpenAI’ın GPT5.5-Cyber gibi) güvenlik açığı araştırmalarını hızlandırmasıyla 90 günlük ambargonun etkisiz kaldığı belirtiliyor. Anchore Güvenlik Başkan Yardımcısı Josh Bressers, 'CVD ölmediyse bile sağlıklı değil' diyerek, güvenlik ekiplerinin ölçeklenemediğini ve açıkların katlanarak arttığını vurguladı.
VulnCheck araştırmacısı Patrick Garrity, CVD'nin hala değerli olduğunu ancak aktif istismar durumlarında sürenin kısaltılması gerektiğini söyledi. RogoLabs kurucusu Jerry Gamblin ise AB'nin Siber Dayanıklılık Yasası'nın 72 saatlik bildirim süresi öngördüğünü ve bunun küresel standart haline gelmesiyle 90 günlük sürecin geçmişte kalacağını belirtti. Gamblin, 'Çözüm koordinasyonu terk etmek değil, zaman çizelgesini tehdit hızına göre kademelendirmek' diyerek aktif istismar edilen kritik açıklar için 7 gün, düşük seviyeli açıklar için 90 gün tavanı önerdi.
Kaynak: infosecurity-magazine.com