Microsoft, Haziran 2026 Patch Tuesday kapsamında Windows işletim sistemleri ve desteklenen yazılımlarındaki yaklaşık 200 güvenlik açığını kapatarak rekor kırdı. Bu açıklardan yaklaşık 36'sı en kritik seviye olan 'critical' olarak sınıflandırılırken, en az 3 zafiyet için istismar kodu kamuya açık hale geldi. Tenable'da kıdemli araştırma mühendisi Satnam Narang, Microsoft'un yapay zeka araçlarını kullanarak hata avcılığını artırdığını ve bu yoğunluğun norm haline gelebileceğini belirtti. Narang, 'Yapılan anketler, güvenlik profesyonellerinin %90'ının yapay zeka kullandığını gösteriyor. Bu hacmin norm haline gelmesi şaşırtıcı değil' dedi.
Haziran ayındaki sıfır gün açıklarından biri olan CVE-2026-49160, Microsoft Internet Information Services (IIS) dahil bir dizi web sunucusunu etkileyen bir hizmet reddi (DoS) zafiyeti. Microsoft, bu açığın OpenAI'ın Codex aracı tarafından raporlandığını duyurdu. Diğer iki sıfır gün açığı ise Nightmare Eclipse takma adlı bir güvenlik araştırmacısının son keşiflerine dayanıyor. 'GreenPlasma' adı verilen zafiyet, Windows Collaborative Translation Framework'teki bir ayrıcalık yükseltme açığını kullanırken, 'YellowKey' ise BitLocker'daki bir güvenlik açığını hedef alıyor. Microsoft, Nightmare Eclipse'in eski bir çalışanı olduğu iddialarına henüz yanıt vermedi.
Microsoft, geçtiğimiz ay Nightmare Eclipse'e karşı yasal işlem düşündüğünü belirten bir blog yazısıyla tepki çekmişti. Şirket daha sonra araştırmacılara dava açma niyetinde olmadığını, ancak yasaları ihlal etmeleri durumunda yetkililere bildirimde bulunacağını açıkladı. Nightmare Eclipse, 14 Temmuz'da yayınlanacak 'kemik kıran' bir sıfır gün patlaması sözü verirken, bugünkü yamaların ardından Windows Defender'da sıfır gün olduğunu iddia ettiği bir istismar yayınladı. Rapid7'den Adam Barnett, bu ay aslında 360 tarayıcı güvenlik açığının da düzeltildiğini, ancak bunların Patch Tuesday sayımına dahil edilmediğini belirtti.
Sistem Güvenliği
Microsoft ayrıca Visual Studio Code'da tek tıklamayla GitHub token'larını çalmaya izin veren bir sıfır gün açığını yamaladı. Şirket, 3 Haziran'da bu açık için geçici bir düzeltme yayınlamak zorunda kalmıştı. Bunun yanında, Microsoft geçtiğimiz hafta 72 genel kod deposunu etkileyen Shai-Hulud solucanıyla mücadele etti. Adobe de Haziran ayında Experience Manager, Acrobat Reader ve ColdFusion dahil birçok üründe kritik güvenlik açıklarını gideren güncellemeler yayınlarken, Google 3 Haziran'da Chrome tarayıcısında 429 güvenlik açığını düzelten bir güncelleme yayınladı. Kullanıcıların güncellemeleri yüklemeden önce verilerini yedeklemeleri öneriliyor.