Microsoft'tan Rekor Patch Tuesday: Haziran 2026'da Yaklaşık 200 Güvenlik Açığı Kapatıldı Siber Güvenlik

Microsoft'tan Rekor Patch Tuesday: Haziran 2026'da Yaklaşık 200 Güvenlik Açığı Kapatıldı

Microsoft, Haziran 2026 Patch Tuesday'de yaklaşık 200 güvenlik açığını kapatarak rekor kırdı. Yapay zeka destekli tespitler ve sıfırıncı gün zafiyetle

Microsoft, Haziran 2026 Patch Tuesday kapsamında yaklaşık 200 güvenlik açığını kapatarak şirket tarihinde bir rekora imza attı. Bu güncellemelerin yaklaşık üç düzinesi 'kritik' olarak sınıflandırılırken, en az üç zafiyet için istismar kodu kamuya açık hale geldi. Bu durum, kullanıcıların güncellemeleri bir an önce uygulaması gerektiğini gösteriyor.

Tenable'den Satnam Narang, yapay zeka araçlarının güvenlik açıklarını tespit etmede giderek daha fazla kullanıldığını belirtti. Microsoft'un geçen ay yayınladığı bir blog yazısında da bu eğilime dikkat çekilmişti. Narang, 'Yapay zeka kullanımı güvenlik profesyonelleri arasında %90 seviyelerine ulaştığı için bu hacimdeki yamaların normalleşmesi şaşırtıcı değil' dedi.

Bu ayın sıfırıncı gün zafiyetleri arasında CVE-2026-49160 (IIS'te hizmet reddi) ve OpenAI Codex tarafından bildirilen bir zafiyet bulunuyor. Ayrıca, 'Nightmare Eclipse' takma adlı güvenlik araştırmacısı tarafından ifşa edilen iki zafiyet de yamalandı. Bunlardan 'GreenPlasma', Windows Collaborative Translation Framework'teki bir ayrıcalık yükseltme zafiyetini kullanıyor. Nightmare Eclipse ayrıca geçen ay BitLocker için 'YellowKey' adlı bir istismar yayınlamıştı.

Microsoft, geçen ay bir blog yazısında güvenlik araştırmacılarına yönelik yasal işlem düşündüğünü belirtince tepki çekmişti. Şirket daha sonra araştırmacılara dava açma niyetinin olmadığını ancak yasaları ihlal edenleri yetkililere bildireceklerini açıkladı. Nightmare Eclipse, eski bir Microsoft çalışanı olduğunu iddia ediyor ve 14 Temmuz'da 'kemik kıran' bir istismar yayınlama sözü verdi. Güncellemelerin hemen ardından Windows Defender'da bir sıfırıncı gün istismarı yayınladı.

Rapid7'den Adam Barnett, bu ay düzeltilen zafiyet sayısının Patch Tuesday sayısından çok daha yüksek olduğunu belirtti. 'Bu ay Microsoft, 360 tarayıcı zafiyeti için yama yayınladı; bu, geçmiş aylara göre çok yüksek bir sayı. Tarayıcı zafiyetleri genellikle Patch Tuesday sayımına dahil edilmiyor' dedi. Microsoft artık Chromium CVE'lerini Güvenlik Güncelleme Kılavuzu'nda listelemiyor.

Microsoft ayrıca Visual Studio Code'da GitHub token'larını tek tıklamayla çalabilen bir sıfırıncı gün zafiyetini de yamaladı. Şirket, bir araştırmacının istismar talimatlarını yayınlamasının ardından 3 Haziran'da geçici bir düzeltme yayınlamak zorunda kalmıştı. Araştırmacı, Microsoft'un daha önce kendisine kredi vermeden bir zafiyeti sessizce düzelttiğini iddia ederek işbirliği yapmamayı tercih ettiğini söyledi.

Diğer büyük yazılım şirketleri de bu ay büyük güncelleme paketleri yayınladı. Adobe, Experience Manager, Acrobat Reader ve Cold Fusion dahil birçok üründe kritik zafiyetleri giderdi. Google ise 3 Haziran'da Chrome tarayıcısında 429 zafiyeti düzelten bir güncelleme yayınladı. Kullanıcıların verilerini yedekleyerek güncellemeleri uygulamaları önerilir.

Kaynak: krebsonsecurity.com

Paylaş: