Microsoft, Haziran 2026 Patch Tuesday'de beklentilerin üzerinde bir CVE yayınladı. Windows 11 için 116, Windows 10 için 104 olmak üzere toplam 200'den fazla güvenlik açığı duyuruldu. Office, SharePoint Server, Visual Studio ve .NET gibi yaygın uygulamalar da bu listede yer aldı. Bu durum, yamanın yönetilebilirliği konusunda yeni soruları gündeme getiriyor. Temmuz ayı genellikle sakin geçse de, bu yıl için aynı şeyi söylemek zor.
Microsoft, Haziran ayında herhangi bir OOB (bant dışı) güncelleme yayınlamadı. Windows Server 2016'daki güncelleme sorunlarını çözdü ve Geri Dönüşüm Kutusu'nun dahili dosya adını göstermesi gibi küçük sorunları giderdi. Ancak, dikkat çeken bazı önemli duyurular da vardı. Windows 11 26H2, Windows Insider Geliştirme kanalında kullanıma sunuldu ve yıl içinde genel kullanıma çıkması bekleniyor. Bu sürüm, 24H2 ve 25H2 ile aynı servis kanalında yer aldığından, etkinleştirme paketiyle güncelleme yapılabilecek. Ayrıca Microsoft, Windows 10 için tüketici ESU desteğini bir yıl daha uzatarak Ekim 2027'ye kadar ücretsiz hale getirdi.
Araştırmacı Nightmare-Eclipse ile Microsoft arasındaki gerilim devam ediyor. Araştırmacı, Microsoft Defender'daki bir dizi açığın sonuncusu olan RoguePlanet adlı yeni bir sıfırıncı gün açığı duyurdu. CVE-2026-50656 olarak izlenen bu açık, bir yarış koşulu ayrıcalık yükseltme güvenlik açığı. GitHub'da yayınlanan POC kodu, saldırgana System yetkileriyle bir kabuk çalıştırma imkanı sağlıyor. CISA, daha önce raporlanan ve BlueHammer gibi yamalanmış açıkların fidye yazılımları tarafından kullanıldığını duyurdu. Bu yeni açığın da kısa sürede istismar edilmesi bekleniyor.
Yapay zeka, güvenlik açığı tespitinde devrim yaratıyor. Adobe, ayda iki güvenlik güncellemesi yayınlama kararı aldı: biri Patch Tuesday'de, diğeri ayın dördüncü Salı günü. Bu karar, Cold Fusion'un çeşitli sürümlerinde maksimum CVSS puanı 10 olan altı güvenlik açığının yamalanmasının ardından geldi. Adobe, 'Daha fazla güvenlik açığı bulunması, daha fazla düzeltme anlamına geliyor ve ayda bir yayın penceresi artık yeterli değil' açıklamasını yaptı. Google da Chrome 150 ile 433 güvenlik düzeltmesi yayınlarken, Apple da daha sık güvenlik güncellemeleri yapmaya başladı.
Patch Apocalypse (Yama Kıyameti) olarak adlandırılan bu dönemde, yama dağıtımını planlamak ve hızlıca uygulamak her zamankinden daha önemli. CVE sayılarındaki patlama, bu açıkları takip etmeyi pratik olmaktan çıkarıyor. Uzmanlar, en son sürücülerle mümkün olan en kısa sürede yama yapmaya yöneliyor. Bu eğilim, güvenlik profesyonellerinin CVE takibinden uzaklaşarak, doğrudan en güncel yamaları uygulamaya odaklanmasına neden oluyor.
Temmuz 2026 Patch Tuesday tahminlerine gelince, Microsoft için yüksek CVE trendinin devam etmesini bekliyorum. Microsoft Office 2016, destek süresi dolmasına rağmen güncelleme almaya devam ediyor. Geçen ay Exchange Server güncellemeleri geldi, bu ay sırada Microsoft SQL Server olabilir. Adobe'nin iki aylık yayın döngüsüne nasıl uyum sağlayacağı belirsiz, ancak Photoshop, Illustrator ve Connect listede olabilir. Apple, macOS Tahoe 26.5.2 ve Safari 26.5.2 güncellemelerini yayınladı; önümüzdeki hafta ayrı bir OS güncellemesi gelebilir. Google Chrome her hafta şaşırtmaya devam ediyor. Mozilla iki haftada bir yayın yapıyor; Thunderbird ve Firefox için 30 Haziran'da yayınlanan son sürümlerden sonra bu hafta iki veya daha fazla güncelleme bekleniyor. Oracle'ın Kritik Yama Güncellemesi (CPU) 21 Temmuz'da planlanmış durumda.
Yapay zeka evrimi başladı ve ilk etkisi güvenlik açığı keşfi ve istismarının hızlanması oldu. Patch süreçlerinin nasıl evrileceğini zaman gösterecek, ancak ilk cevaplanması gereken soru şu: CVE takibi hâlâ pratik mi? Artan hacim karşısında, güvenlik ekiplerinin önceliklendirme ve otomasyon stratejilerini yeniden düşünmesi gerekiyor. Belki de gelecek, yapay zeka destekli risk değerlendirme ve otomatik yama yönetimi sistemlerinde.
Kaynak: helpnetsecurity.com