Microsoft, Temmuz 2026 Patch Tuesday güncellemesiyle şirket tarihinin en büyük güvenlik yamasını yayınladı. Zero Day Initiative (ZDI) verilerine göre, bu ay tam 621 yeni CVE (Common Vulnerabilities and Exposures) düzeltildi. Bu sayı, yılın ilk yedi ayında düzeltilen toplam CVE sayısını son 20 yılın herhangi bir tam yılının toplamının üzerine çıkardı. Üstelik bu sayıya Chromium ve Microsoft Edge'de düzeltilen yaklaşık 480 hata dahil değil. Microsoft'a özel düzeltmelerin 63'ü Kritik, 6'sı Orta, 1'i Düşük seviyede, geri kalanı ise Önemli olarak sınıflandırıldı. İki güvenlik açığı 'aktif olarak istismar ediliyor' olarak işaretlenirken, bir diğeri ise kamuya açık hale geldi.
Güncelleme kapsamındaki ürünler de dikkat çekici: Windows ve bileşenleri, Office, Microsoft Edge, Azure, .NET, Visual Studio, GitHub Copilot, Defender, Exchange Server, Hyper-V ve hatta beklenmedik bir şekilde Age of Empires II ve Minecraft Server. Sekiz hata, ZDI'nin kendi raporlama programı aracılığıyla geldi. ZDI raporunda, 'Yılbaşından bugüne CVE sayısı diğer tüm yılların toplamını aştı. Bu karmaşanın nasıl sayılacağı herkesin tahminine kalmış.' ifadeleri yer alıyor.
Aktif olarak istismar edilen iki güvenlik açığından ilki, CVE-2026-56155: Active Directory Federation Services (AD FS) ayrıcalık yükseltme kusuru. Yerel erişim ve düşük ayrıcalıklar gerektiriyor; bu, sınırlı bir tehdit gibi görünse de AD FS'nin kimlik altyapısı olduğunu unutmamak gerek. Ağa sızmış saldırganlar, yanal ve yukarı yönlü hareket için tam da bu tür hataları kullanır. ZDI, bu açığın bir uzaktan kod yürütme güvenlik açığıyla birleştirilebileceğini ve bu kombinasyonun fidye yazılımı saldırılarında sıkça görüldüğünü belirtiyor. Derhal yama uygulanmalı.
Gelecekte Ne Bekleniyor?
İkinci aktif istismar edilen açık ise CVE-2026-56164: SharePoint Server ayrıcalık yükseltme güvenlik açığı. CVSS puanı sadece 5.3 (Orta) olduğu için bazı kuruluşların önceliklendirmede hata yapmasına neden olabilir. Ancak bu bir kimlik doğrulama eksikliği kusuru olduğu için kimliği doğrulanmamış uzaktan saldırılara ve kullanıcı etkileşimi olmadan istismara izin veriyor. Aktif istismar, CVSS puanı ne olursa olsun acil yama gerektiriyor.
Sonuç ve Değerlendirme
Ayın en yüksek şiddetteki güvenlik açığı, CVSS 9.9 puanıyla CVE-2026-57092: Microsoft Windows VMSwitch Ayrıcalık Yükseltme Güvenlik Açığı. Bu, use-after-free türü bir kusur olup, düşük ayrıcalıklı bir saldırganın sanal makine sınırını aşarak ana bilgisayarı tamamen ele geçirmesine olanak tanıyor. Yani bir VM içindeki saldırgan, onu çalıştıran ana bilgisayara erişebiliyor. Hyper-V dağıtımlarınızda VMSwitch kullanıyorsanız (ki neredeyse kesin kullanıyorsunuz), bu acil bir öncelik.
Diğer dikkat çekici düzeltmeler arasında: CVE-2026-50522 ve CVE-2026-58644, SharePoint'te kimlik doğrulama veya kullanıcı etkileşimi gerektirmeyen, CVSS 9.8 puanlı iki uzaktan kod yürütme hatası. CVE-2026-50522, Pwn2Own Berlin'de canlı olarak gösterildi, yani çalışan bir istismar Microsoft'a teslim edildi. CVE-2026-56190, RDP Sunucusu'nda kimlik doğrulama gerektirmeyen, kullanıcı etkileşimi olmadan istismar edilebilen bir uzaktan kod yürütme hatası. CVE-2026-55008, Exchange Server'da Outlook Web Access üzerinden depolanmış XSS kusuru olarak değerlendirilmeli, CVSS 9.6. CVE-2026-50518, Windows DHCP Sunucusu'nda heap-based buffer overflow, CVSS 9.8, kimlik doğrulama gerektirmiyor ve ağ üzerinden erişilebilir. Tüm bu açıklar için acil yama öneriliyor.
Kaynak: securityaffairs.com