Microsoft’tan Rekor Güvenlik Güncellemesi
Microsoft, 9 Haziran 2026 tarihinde yayımladığı Haziran “Yama Salısı” güncellemeleriyle Windows işletim sistemleri ve ilgili ürünlerinde toplam 206 güvenlik açığını giderdi. Bu, şirketin Ekim 2003’te “Yama Salısı” programını başlattığından bu yana tek bir güvenlik güncellemesinde yayımladığı en yüksek güvenlik açığı sayısı olarak kayıtlara geçti. Güncellemeler arasında 33 ila 39 kritik olarak derecelendirilen zafiyet ve kamuya açık üç sıfır gün açığı bulunuyor.
Bu ayki yamalar, uzaktan kod yürütme (RCE), ayrıcalık yükseltme ve hizmet reddi gibi ciddi tehditleri ortadan kaldırmayı hedefliyor. Siber güvenlik uzmanları, sistem yöneticilerini ve kullanıcıları, olası saldırılara karşı korunmak için güncellemeleri mümkün olan en kısa sürede uygulamaya çağırdı.
Kritik Sıfır Gün Zafiyetleri ve Etkileri
Haziran 2026 güncellemelerinde ele alınan üç önemli sıfır gün zafiyeti, kamuya açık olarak biliniyordu ve potansiyel risk taşıyordu. Bu zafiyetler, saldırganlar tarafından aktif olarak istismar edilme potansiyeline sahipti.
- CVE-2026-49160: HTTP.sys Hizmet Reddi Zafiyeti
Bu zafiyet, Microsoft IIS dahil olmak üzere çeşitli web sunucularını etkileyen bir HTTP.sys hizmet reddi açığıydı. OpenAI’ın Codex’i tarafından bildirilen bu açık, aşırı büyük isteklerle tetiklenebiliyor ve sistem kaynaklarının kontrolsüz tüketilmesine yol açabiliyordu. Microsoft, bu zafiyetin istismar edilme olasılığını “daha yüksek” olarak değerlendirdi. - CVE-2026-45586: Windows Collaborative Translation Framework (CTFMON) Ayrıcalık Yükseltme Zafiyeti
“GreenPlasma” olarak da bilinen bu zafiyet, kimliği doğrulanmış bir saldırganın sistemde daha yüksek ayrıcalıklar elde etmesine olanak tanıyordu. Güvenlik araştırmacısı “Nightmare Eclipse” tarafından kamuoyuna duyurulan bu tür ayrıcalık yükseltme açıkları, çok aşamalı saldırıların başlangıcında sıklıkla kullanılıyor. - CVE-2026-50507: Windows BitLocker Güvenlik Özelliği Atlatma Zafiyeti
“YellowKey” veya “Bitskrieg” olarak adlandırılan bu açık, fiziksel erişimi olan kimliği doğrulanmamış bir saldırganın BitLocker şifrelemesini atlayarak şifreli verilere erişmesine izin veriyordu. Bu zafiyet için halka açık istismar kodu bulunmasına rağmen, aktif olarak kullanıldığına dair bir kanıt yoktu.
Ayrıca, Microsoft Exchange Server’da bulunan CVE-2026-42897 numaralı bir kimlik taklidi zafiyetinin ise aktif olarak istismar edildiği belirtildi. Bu açık, kötü niyetli bir e-postanın Outlook Web Access’te açılması durumunda rastgele JavaScript kodunun yürütülmesine neden olabiliyordu.
Diğer Kritik Zafiyetler ve Güncellemeler
Haziran ayındaki güncellemeler sadece sıfır gün açıklarını değil, aynı zamanda birçok kritik uzaktan kod yürütme (RCE) zafiyetini de kapsıyordu. Bu ay yamalanan 33 kritik açığın 28’i uzaktan kod yürütme ile ilgiliydi.
- HTTP.sys RCE Zafiyeti (CVE-2026-47291)
HTTP.sys’deki bu kritik RCE zafiyeti, kimliği doğrulanmamış bir saldırganın ağ üzerinden kod çalıştırmasına olanak tanıyordu. - Windows Dağıtım Hizmetleri (WDS) RCE Zafiyeti (CVE-2026-42987)
CVSS puanı 8.1 olan bu kritik açık, Windows Dağıtım Hizmetleri’ndeki bir “use-after-free” hatasından kaynaklanıyordu ve yetkisiz bir uzaktan saldırganın ağ üzerinden rastgele kod yürütmesine izin veriyordu. - DHCP İstemci Hizmeti RCE Zafiyeti (CVE-2026-44815)
CVSS puanı 9.8 olan bu kritik RCE zafiyeti, Windows DHCP İstemci Hizmeti’ndeki bir yığın tabanlı arabellek taşması hatasıydı. Kimliği doğrulanmamış bir uzaktan saldırgan, kötü niyetli bir DHCP sunucusu işletip özel hazırlanmış verilerle yanıt vererek kod çalıştırabiliyordu. - Microsoft Office Ürünlerindeki RCE Zafiyetleri
Microsoft Outlook ve Word’ü etkileyen CVE-2026-45456, CVE-2026-45458 ve CVE-2026-47635 gibi kritik RCE zafiyetleri de düzeltildi. Bu zafiyetler, önizleme bölmesi aracılığıyla istismar edilebiliyordu.
Arka Plan
İşletim sistemi güvenlik yamaları, siber güvenlik dünyasında düzenli ve kritik bir süreçtir. Microsoft, her ayın ikinci Salı günü “Yama Salısı” (Patch Tuesday) adı verilen bir program dahilinde güvenlik güncellemelerini yayımlar. Bu güncellemeler, keşfedilen güvenlik açıklarını kapatarak sistemleri potansiyel saldırılara karşı korur.
Son yıllarda yapay zeka araçlarının güvenlik açığı tespitinde artan kullanımı, yama sayılarının yükselmesine neden oldu. Uzmanlar, bu durumun gelecekte daha fazla güvenlik güncellemesinin norm haline gelebileceğini belirtiyor.
Kullanıcıya Etkisi ve Alınması Gereken Önlemler
Bu kapsamlı güvenlik güncellemeleri, Windows kullanıcıları için büyük önem taşıyor. Özellikle kritik ve sıfır gün zafiyetleri, sistemlerin hızla güncellenmesini zorunlu kılıyor. Güncellemelerin geciktirilmesi, uzaktan kod yürütme, veri sızıntısı veya sistemin tamamen ele geçirilmesi gibi ciddi sonuçlara yol açabilir.
Kullanıcıların ve sistem yöneticilerinin yapması gerekenler:
- Hemen Güncelleme Yapın: Windows Update üzerinden en son güvenlik yamalarını indirin ve kurun. Çoğu sistemde otomatik güncellemeler etkin olsa da, manuel kontrol ve kurulum önerilir.
- Yedekleme Yapın: Herhangi bir işletim sistemi güncellemesi öncesinde verilerinizi yedeklemek, olası sorunlara karşı önemli bir adımdır.
- Office Uygulamalarını Güncelleyin: Microsoft Office ürünlerinde de kritik zafiyetler giderildiği için, Office uygulamalarınızın güncel olduğundan emin olun. macOS kullanıcıları için Office for Mac sürüm 16.110 veya üzeri öneriliyor.
- Şüpheli Dosyalara Dikkat Edin: Özellikle Microsoft Exchange Server’daki aktif olarak istismar edilen zafiyet göz önüne alındığında, istenmeyen veya şüpheli Office/Word belgelerini açmaktan kaçının.
Diğer İşletim Sistemlerindeki Gelişmeler
Microsoft güncellemelerinin yanı sıra, diğer işletim sistemlerinde de son 30 gün içinde önemli güvenlik gelişmeleri yaşandı:
- Apple Güvenlik Güncellemeleri: Apple, 16 Haziran 2026’da Beats Studio Buds için kritik bir güvenlik yazılımı güncellemesi yayımladı. Bu güncelleme, CVE-2025-20701 kimlikli bir açığı kapatarak saldırganların kulaklık mikrofonu üzerinden dinleme yapmasını engelliyor. Ayrıca, 1 Haziran 2026’da iOS 26.5.1 ve macOS Tahoe 26.5.1 güncellemeleri yayımlandı, ancak bu güncellemeler için kamuya açık CVE girişi bulunmuyordu. macOS Sonoma 14.8.8 ve macOS Sequoia 15.7.8 için de önemli güvenlik düzeltmeleri içeren Release Candidate sürümleri çıktı.
- Linux Çekirdek Zafiyetleri: Linux çekirdeğinde de son dönemde ayrıcalık yükseltme zafiyetleri tespit edildi. 11 Haziran 2026’da duyurulan CVE-2026-52906, 9p dosya sistemi istemcisindeki bir ayrıcalık yükseltme açığıydı. Ayrıca, 9 Haziran 2026’da Linux çekirdeğindeki nf_tables’ta yerel kullanıcıların root ayrıcalıkları elde etmesine olanak tanıyan bir “use-after-free” hatası (CVE-2026-23111) hakkında detaylar paylaşıldı. SUSE Linux çekirdeğinde de hizmet reddi, uzaktan kod yürütme ve ayrıcalık yükseltme gibi çok sayıda zafiyet giderildi; CVE-2026-43500 (“Dirty Frag”) aktif olarak istismar ediliyordu. Ubuntu da 17 Haziran 2026’da Linux çekirdek zafiyetlerine yönelik güncellemeler yayımladı.
- 7-Zip Kritik Açığı: 30 Mayıs 2026’da popüler sıkıştırma programı 7-Zip’te CVE-2026-48095 kimlikli kritik bir açık keşfedildi. NTFS tabanlı disk imajı dosyalarını işleme biçiminden kaynaklanan bu “heap-based buffer overflow” zafiyeti, özel hazırlanmış arşiv dosyaları aracılığıyla uzaktan kod yürütmeye imkan tanıyordu. Sorun, 7-Zip 26.01 sürümüyle giderildi.
Secure Boot Sertifikalarının Süresi Doluyor
Windows bilgisayarlar için önemli bir güvenlik özelliği olan Secure Boot sertifikalarının süresi Haziran ve Ekim 2026’da dolmaya başlıyor. Microsoft Corporation KEK CA 2011 sertifikası 24 Haziran’da, Microsoft UEFI CA 2011 sertifikası ise 27 Haziran’da sona erecek. En kritik son tarih ise Windows önyükleyicisini imzalayan Microsoft Windows Production PCA 2011 sertifikasının 19 Ekim’de dolmasıdır.
Microsoft, Windows Update aracılığıyla yeni 2023 tarihli sertifikaları dağıtmaya başladı. Güncel olmayan veya eski donanıma sahip bilgisayarlar, gelecekteki önyükleme düzeyindeki güvenlik yamalarını alamama riskiyle karşı karşıya kalabilir. Kullanıcıların, sistemlerinin Secure Boot durumunu kontrol etmeleri ve gerekli güncellemeleri yapmaları tavsiye ediliyor.
