Microsoft’un büyük Salı Yaması her zamankinden iki kat daha fazla güvenlik açığını düzeltiyor

Dün, Microsoft’un çeşitli uygulama ve hizmetlerde 159 güvenlik açığını ortadan kaldıran büyük bir güvenlik güncelleştirmesi paketini kullanıma sunduğu Ocak ayının Salı günü büyük Yamasıydı.

Bu, son birkaç yılın en kapsamlı Salı Yaması olup, normal sabit güvenlik kusurlarının iki katından fazladır. Microsoft’a göre, yamalı Windows güvenlik açıklarından üçü zaten yaygın olarak kullanılıyor ve diğer beş güvenlik açığı da önceden kamuya açık olarak biliniyordu.

Microsoft, Güvenlik Güncelleştirmesi Kılavuzu’nda kendi kendine arama yapılmasına ilişkin güvenlik açıkları hakkında çok fazla bilgi sunmuyor, ancak Dustin Childs, Zero Day Initiative blogunda kurumsal ağları yöneten yöneticilere yönelik bir bakış açısıyla çok daha fazla ayrıntıya giriyor.

Bir sonraki normal Yama Salı günü 11 Şubat 2025’te olacak.

Windows güvenlik açıkları düzeltildi

Bu sefer 132 adet olmak üzere çok sayıda güvenlik açığı, Microsoft’un halen güvenlik güncelleştirmeleri sunduğu çeşitli Windows sürümlerine (örn. Windows 10, Windows 11 ve Windows Server) yayılmıştır.

Her ne kadar bu güvenlik raporlarında artık Windows 7 ve 8.1’den bahsedilmese de bunlar hâlâ savunmasız olabilir. Windows’un bu eski sürümlerini kullanıyorsanız ve sistem gereksinimleriniz buna izin veriyorsa, güvenlik güncellemelerini almaya devam etmek için kesinlikle Windows 10 veya Windows 11’e geçmelisiniz.

Windows saldırı altında

Microsoft’a göre, ele alınan Windows güvenlik açıklarından üçü aktif olarak istismar ediliyor. Aşağı yukarı aynı Hyper-V güvenlik açıkları CVE-2025-21333, CVE-2025-21334 ve CVE-2025-21335, kayıtlı saldırganların ana bilgisayardaki sistem yetkilendirmeleriyle konuk sistemden kod yürütmesine olanak tanır. Bu güvenlik açıklarına yönelik saldırıların şu anda ne kadar yaygın olduğu bilinmiyor.

Kritik Windows güvenlik açıkları

Microsoft, toplam sekiz Windows güvenlik açığını kritik olarak sınıflandırıyor. Windows OLE’deki CVE-2025-21298 (CVSS 9.8), bu e-postanın Outlook ile açılması durumunda, özel hazırlanmış bir e-posta yoluyla kullanılabilir. Önizleme penceresi doğrudan bir saldırı vektörü olmasa da, bir dosya ekinin önizlemesi kodun eklenmesine ve yürütülmesine yol açabilir.

Bir ağ geçidi sunucusunun Uzak Masaüstü Hizmetlerinde, CVE-2025-21297 ve CVE-2025-21309 (CVSS 8.1), kullanıcı oturumu açmadan saldırganlar tarafından uzaktan saldırıya uğrayabilir. Her ne kadar serbest kullanım sonrası güvenlik açığından yararlanmak için bir yarış koşulunu kazanmaları gerekse de, bilgisayar korsanları bunu gerçekleştirebilir.

Microsoft, Windows telefon hizmetindeki 28 benzer RCE güvenlik açığını (CVSS 8.8) kapattı. Yüksek riskli olarak sınıflandırılıyorlar ve görünüşe göre henüz istismar edilmiyorlar.

Microsoft Office güvenlik açıkları düzeltildi

Microsoft, Office ürünlerindeki 20 güvenlik açığını ortadan kaldırdı. Bunlar arasında Word, Excel, Outlook, OneNote, Visio ve SharePoint Server’daki bir dizi RCE güvenlik açığı bulunmaktadır. Access’teki üç RCE güvenlik açığı sıfır gün olarak kabul edilir.

Microsoft Edge güvenlik açıkları düzeltildi

Microsoft’un Edge tarayıcısı için en son güvenlik güncellemesi, Chromium 131.0.6778.265’i temel alan 10 Ocak tarihli 131.0.2903.146 sürümüdür. Ancak Microsoft’un güncelleme kataloğu dışında bu güncelleme hâlâ Microsoft tarafından hiçbir yerde belgelenmemiştir.

Google ayrıca, yüksek riskli olarak sınıflandırılan bir dizi güvenlik açığını ortadan kaldıran Chrome’un yeni bir ana sürümünü de yayınladı.