Microsoft, Haziran 2026 Patch Salı güncellemesiyle Windows ve desteklenen yazılımlardaki yaklaşık 200 güvenlik açığını kapatarak şirket tarihinin en büyük yama paketini yayınladı. Bu açıklardan yaklaşık üç düzinesi 'kritik' olarak işaretlenirken, en az üç zafiyet için kamuya açık istismar kodları bulunuyor. Tenable'ın kıdemli araştırma mühendisi Satnam Narang, Microsoft'un geçen ay yayınladığı blog yazısında hem mühendislerinin hem de güvenlik topluluğunun yapay zeka araçlarını kullanarak açıkları bulmada daha başarılı olduğunu belirtti. Narang, 'Anketler güvenlik profesyonelleri arasında yapay zeka kullanımının yüzde 90'a ulaştığını gösteriyor. Bu yama hacminin norm haline gelmesi şaşırtıcı değil' dedi.
Haziran ayının sıfır gün açıkları arasında CVE-2026-49160 kodlu, Microsoft Internet Information Services (IIS) dahil birçok web sunucusunu etkileyen bir hizmet reddi zafiyeti bulunuyor. Microsoft, bu açığın OpenAI'nin Codex modeli tarafından raporlandığını belirtti. Ayrıca bu ay kapatılan iki sıfır gün, 'Nightmare Eclipse' takma adını kullanan bir güvenlik araştırmacısının geçtiğimiz aylarda yayınladığı istismar kodlarına dayanıyor. Nightmare Eclipse, 'GreenPlasma' adını verdiği bir zafiyetle Windows Collaborative Translation Framework'te ayrıcalık yükseltme açığı kullanıyordu. Aynı çerçeve bugün CVE-2026-45586 ile yamalandı.
Nightmare Eclipse geçen ay ayrıca, fiziksel erişimi olan saldırganların şifrelenmiş verileri görüntülemesine izin veren bir Windows BitLocker zafiyeti için 'YellowKey' adlı istismar kodunu yayınlamıştı. CVE-2026-50507 ise BitLocker'daki bir ayrıcalık yükseltme açığını kapatıyor. Microsoft, geçen ay blog yazısında araştırmacıya karşı yasal işlem başlatmayı değerlendirdiğini açıklayınca sosyal medyada büyük tepki çekmişti. Şirket daha sonra Twitter/X üzerinden, araştırmacılara yasal işlem yapma niyetinde olmadığını ancak yasaları çiğnemeleri halinde yetkililere bildireceğini açıkladı. CVE-2026-49160 ve CVE-2026-50507 için yayınlanan danışmanlık notlarında herhangi bir araştırmacıya atıf yapılmadı.
Sonuç ve Değerlendirme
Nightmare Eclipse, eski bir Microsoft çalışanı olduğunu iddia ediyor ancak Microsoft bu iddiaya yanıt vermedi. Rapid7'nin belirttiğine göre, Nightmare Eclipse'in blog yazısında Resident Evil oyun serisinden bir karakter olan Albert Wesker'ın görseline yer verilmiş. Araştırmacı, 14 Temmuz'da (bir sonraki Patch Salı ile aynı gün) 'kemik kıran' bir yeni sıfır gün yağmuru daha yayınlayacağını duyurdu. Microsoft'un bugünkü yamalarını yayınlamasının hemen ardından araştırmacı, Windows Defender'da sıfır gün olduğunu iddia ettiği bir açık için istismar kodu yayınladı.
200 zafiyet Patch Salı için rekor olsa da Microsoft'un bu ay düzelttiği güvenlik açıklarının gerçek sayısı çok daha yüksek. Rapid7'den Adam Barnett, 'Bu ay Microsoft, 360 tarayıcı zafiyetini gidermek için yamalar yayınladı. Bu, geçtiğimiz yıllarda herhangi bir ayda görülenin katbekat üzerinde. Her zamanki gibi tarayıcı açıkları yukarıdaki Patch Salı sayısına dahil değil. Aslında, tarayıcı zafiyetlerindeki büyük ve muhtemelen kalıcı artış, Microsoft'un Chromium CVE'lerini Güvenlik Güncelleme Kılavuzu'nda listelemeyi bırakmasına yol açtı' dedi.
Microsoft ayrıca Visual Studio Code'da, saldırganların tek tıklamayla GitHub token'larını çalmasına izin veren bir sıfır gün açığını da yamaladı. Şirket, bir araştırmacının açığın nasıl istismar edileceğini gösteren talimatlar yayınlamasının ardından 3 Haziran'da geçici bir düzeltme yayınlamak zorunda kalmıştı. Araştırmacı, Microsoft'la çalışmamayı tercih ettiğini çünkü daha önce bildirdiği bir açığı sessizce yamalayan Microsoft'un kendisine atıf veya teşekkür vermediğini belirtti. Microsoft geçen hafta kendi iç sıfır gün acil durumlarıyla da boğuştu; şirketin en az 72 genel kod deposu, Shai-Hulud solucanının bir varyantıyla enfekte oldu. Araştırmacılar, etkilenen tüm paketlerin Microsoft'un resmi Azure Durable Task SDK'sına bağlı olduğunu ve Mayıs ayında aynı solucan tarafından vurulduğunu tespit etti.
Diğer büyük yazılım üreticileri de bu ay büyük güncelleme paketleri yayınlıyor. Adobe, Adobe Experience Manager, Acrobat Reader ve Cold Fusion dahil bir dizi üründeki çok sayıda kritik güvenlik açığını gidermek için güncellemeler yayınladı. 3 Haziran'da Google, en son Chrome tarayıcı güncellemesinde tam 429 zafiyeti çözdü. Chrome güncellemeleri otomatik olarak indirilir ancak genellikle tarayıcının tamamen yeniden başlatılmasını gerektirir. Her zamanki gibi, işletim sistemi güncellemelerini uygulamadan önce verilerinizi yedeklemenizi ve bu ayın yamalarıyla ilgili herhangi bir sorunla karşılaşırsanız yorum bırakmanızı öneririz.
Kaynak: krebsonsecurity.com