Microsoft, Haziran 2026 Patch Tuesday kapsamında 9 Haziran’da Windows, Office ve diğer ürünlerinde toplam 200 güvenlik açığını kapattı. Güncellemede 33 “kritik” zafiyet yer alıyor ve bu sayı, programın bugüne kadarki en büyük yama turu olarak kayda geçti. Bu ay, beş açığın kamuya açık “sıfır gün” olarak ifşa edildiği, bunlardan birinin ise aktif olarak istismar edildiği doğrulandı.
Aktif istismar edilen açık, Microsoft Exchange Server’da (CVE-2026-42897) tarayıcı üzerinde JavaScript çalıştırılmasına yol açan bir “spoofing” sorunu. Microsoft, Exchange ortamları için acil önlemler ve düzeltmeler yayınlandığını; Exchange sunucularının öncelikli olarak güncellenmesi gerektiğini vurguluyor.
Microsoft’un açıkladığı kategori dağılımı, ölçeğin neden bu kadar büyüdüğünü gösteriyor: 65 yetki yükseltme (EoP), 55 uzaktan kod çalıştırma (RCE), 30 bilgi sızıntısı, 27 kimlik sahteciliği, 19 güvenlik özelliği atlatma ve 7 hizmet reddi (DoS). Ayrıca bu sayılar, Chromium/Edge tarafındaki 360 düzeltmeyi kapsamıyor; bu da farklı kaynaklarda görülen toplam farklarının başlıca nedeni.
Öne çıkan güvenlik açıkları
- YellowKey – CVE-2026-45585: BitLocker korumalı sürücülere fiziksel erişimi olan saldırganların şifrelemeyi atlatmasına izin veren güvenlik özelliği atlatma açığı.
- GreenPlasma – CVE-2026-45586: Windows CTFMON bileşeninde yerel yetki yükseltme; saldırganın sistem ayrıcalıkları almasına kapı aralıyor.
- HTTP/2 “Bomb” – CVE-2026-49160: HTTP.sys üzerinde hizmet reddine yol açabilen, başlık işleme mekanizmasını suistimal eden bir yöntem; web servislerinde kaynak tüketimini şişirebiliyor.
- “Mini‑Plasma” – CVE-2020-17103: Windows Cloud Files Mini Filter sürücüsünde yerel yetki yükseltme; geçmişte giderildiği bildirilen bir sorunun bu ay kapsamlı şekilde ele alındığı belirtiliyor.
- Active Directory Domain Services – CVE-2026-45648: Etki alanı denetleyicilerini etkileyen kritik uzaktan kod çalıştırma açığı.
Ne yapmalı? Kısa vadede Exchange Server’ların yamalanması ve acil önlemlerin doğrulanması kritik. Ardından etki alanı denetleyicileri, BitLocker’ın kullanıldığı uç noktalar ve internetten erişilen Windows/IIS sunucuları önceliklendirilerek Haziran paketleri hızla dağıtılmalı. Kurumsal ekipler, Windows 11’in güncel toplu paketlerini aşamalı dağıtım ve geri alma planlarıyla test ederek yayına almalı.
Not: Bazı medya ve blog yazılarında 200+ gibi farklı toplamlar görebilirsiniz. Microsoft’un ve teknik basının büyük bölümü, ana Patch Tuesday bülteninde yer alan Microsoft ürün yamalarını sayıyor; Chromium/Edge veya ayın başında ayrı düzeltmeleri bu toplama dahil etmeyenler ile edenler arasında sayım farkı oluşuyor.
Kaynak: www.techspot.com