Yama Salı, Mayıs 2026 Sürümü Dünya Geneli

Yama Salı, Mayıs 2026 Sürümü

Yapay zeka platformları sosyal mühendisliğe en az insanlar kadar duyarlı olabilir ancak insan yapımı bilgisayar kodlarındaki güvenlik açıklarını bulma...

Yapay zeka platformları sosyal mühendisliğe en az insanlar kadar duyarlı olabilir ancak insan yapımı bilgisayar kodlarındaki güvenlik açıklarını bulma konusunda oldukça başarılı olduklarını kanıtlıyorlar. Bu gerçek, Apple, Google, Microsoft, Mozilla ve Oracle dahil olmak üzere daha yaygın olarak kullanılan bazı yazılım üreticilerinin rekor hacimlerdeki güvenlik hatalarını düzeltmeleri ve/veya yama sürümlerinin temposunu hızlandırmaları ile bu ay tam olarak ortaya çıkıyor.

Microsoft, her ayın ikinci Salı günü yaptığı gibi bugün de çeşitli Windows işletim sistemleri ve diğer ürünlerindeki en az 118 güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Dikkat çekici bir şekilde bu, Microsoft'un zaten istismar edilmekte olan acil sıfır gün kusurlarıyla başa çıkmak için herhangi bir düzeltme göndermediği yaklaşık iki yıl içinde Salı günü yapılan ilk Yamadır. Bugün düzeltilen kusurların hiçbiri daha önce açıklanmadı (potansiyel olarak saldırganlara bu zayıflıktan nasıl yararlanabilecekleri konusunda bir fikir verebilir).

Güvenlik açıklarından on altısı, Microsoft'un en korkunç "kritik" etiketini kazandı; bu, kötü amaçlı yazılımların veya kötü amaçlı yazılımların, kullanıcıdan çok az yardım alarak veya hiç yardım almadan savunmasız bir Windows cihazının uzaktan kontrolünü ele geçirmek için bu hataları kötüye kullanabileceği anlamına geliyor. Rapid7, bu ay aşağıdakiler de dahil olmak üzere daha endişe verici bazı kritik zayıflıkları tespit etme konusunda ağır işlerin çoğunu yaptı:

CVE-2026-41089: Windows Netlogon'da, saldırgana etki alanı denetleyicisinde SİSTEM ayrıcalıkları sunan kritik bir yığın tabanlı arabellek taşması. Hiçbir ayrıcalık veya kullanıcı etkileşimi gerekmez ve saldırı karmaşıklığı düşüktür. Yamalar, 2012'den itibaren Windows Server'ın tüm sürümleri için mevcuttur.

CVE-2026-41096: Microsoft'un istismar olasılığını daha düşük olarak değerlendirmesine rağmen, Windows DNS istemci uygulamasında dikkate değer kritik bir RCE.

CVE-2026-41103: Yetkisiz bir saldırganın sahte kimlik bilgileri sunarak mevcut bir kullanıcının kimliğine bürünmesine ve dolayısıyla Entra ID'yi atlamasına olanak tanıyan kritik bir ayrıcalık yükselmesi güvenlik açığı. Microsoft, kötüye kullanım olasılığının daha yüksek olmasını bekliyor.

Mayıs Salı Yaması, Microsoft'un rekora yakın 167 güvenlik açığını düzelttiği Nisan ayından sonra hoş bir ara oldu. Microsoft, Anthropic tarafından geliştirilen ve koddaki güvenlik açıklarını ortaya çıkarmada oldukça etkili görünen, çok abartılı bir yapay zeka yeteneği olan "Project Glasswing"e erişim izni verilen birkaç düzine teknoloji devi arasında yer aldı.

Ivanti ürün yönetiminden sorumlu başkan yardımcısı Chris Goettl, Project Glasswing'in bir diğer erken katılımcısı olan Apple'ın, iOS aygıtları için her güvenlik güncellemesi gönderdiğinde genellikle ortalama 20 güvenlik açığını giderdiğini söyledi. 11 Mayıs'ta Apple, en az 52 güvenlik açığını gidermek için güncellemeler yayınladı ve değişiklikleri iPhone 6s ve iOS 15'e kadar destekledi.

Geçtiğimiz ay Mozilla, Glasswing değerlendirmesi sırasında keşfedildiği bildirilen 271 güvenlik açığını çözen Firefox 150'yi piyasaya sürdü.

Goettl, "Firefox 150.0.0'ın piyasaya sürülmesinden bu yana, her sürümde üç ila beş CVE'yi çözümleyen Mayıs Yaması Salı günü Firefox 150.0.3'ün piyasaya sürülmesi de dahil olmak üzere güvenlik güncellemeleri için haftalık olarak daha agresif bir tempo izliyorlar" dedi.

Yazılım devi Oracle da yakın zamanda Glasswing ile yaptıkları çalışmalara yanıt olarak yama hızını artırdı. Oracle, en son üç aylık yama güncellemesinde, uzaktan yararlanılabilir, kimliği doğrulanmamış kusurlara yönelik 300'den fazla düzeltme de dahil olmak üzere en az 450 kusuru giderdi. Ancak Nisan ayının sonunda Oracle, kritik güvenlik sorunları için aylık güncelleme döngüsüne geçeceğini duyurdu.

8 Mayıs'ta Google, Chrome tarayıcısında şaşırtıcı derecede 127 güvenlik açığını gideren güncellemeler yayınlamaya başladı (önceki ay bu sayı yalnızca 30'du). Chrome, mevcut güvenlik güncellemelerini otomatik olarak indirir, ancak bunları yüklemek tarayıcının tamamen yeniden başlatılmasını gerektirir.

Microsoft'un veya burada adı geçen başka bir satıcının güncellemelerini uygularken herhangi bir tuhaflıkla karşılaşırsanız, aşağıdaki yorumlardan çekinmeyin. Bu arada, son zamanlarda verilerinizi ve/veya sürücünüzü yedeklemediyseniz, bunu güncellemeden önce yapmanız genel bir kuraldır.

Sağlam bir tavsiye. Bugün yayımlanan Microsoft güncellemelerine daha ayrıntılı bir bakış için SANS Internet Storm Center'ın bu envanterine göz atın.

Paylaş: