Mart 2026'da Microsoft, Salı Yaması sırasında 83 yeni güvenlik açığına yönelik güncellemeyi depoda bulunduruyor. Güvenlik açıklarından ikisi sıfır gün güvenlik açıklarıdır. Sonuçta hiçbiri şu ana kadar internet saldırılarında kötüye kullanılmadı.
Duyurudan sonra devamını okuyun
Microsoft'un kendisi, şirketin Mart ayındaki Yama Günü'nde yayınladığı tüm güvenlik açığı söylentilerini bir genel bakışta listeliyor. Geliştiriciler bunlardan sekizini kritik tehditler olarak sınıflandırıyor; bu, CVSS değerine göre genellikle önemli ölçüde daha düşük olan risk derecelendirmesinden büyük ölçüde farklı.
Microsoft sıfır gün güvenlik açıklarını ele alıyor
SQL Server'daki ayrıcalık yükseltme güvenlik açığı hakkında bilgi (CVE-2026-21262, CVSS 8.8risk”yüksek“) ve .Net'te hizmet reddi güvenlik açığı (CVE-2026-26127, CVSS) 7.5risk”yüksek“) Microsoft'a göre zaten halka açık. Ancak henüz saldırıya uğramadılar ve Microsoft, bunların uygunsuz kullanımını dışlayacak şekilde durumu değerlendiriyor.
Redmond geliştiricileri, Microsoft'un Azure'daki “ACI Gizli Konteynerleri”ndeki boşlukları kritik bir risk olarak sınıflandırıyor. Bu, saldırganların ayrıcalıkları yükseltmesine veya bilgilere yetkisiz erişim elde etmesine olanak tanır (CVE-2026-23651, CVE-2026-26124, her ikisi de CVSS) 6.7risk”orta“ve ayrıca CVE-2026-26122, CVSS 6.5risk”orta“); Müşterilerin hiçbir şey yapmasına gerek yok, Microsoft, sunucu tarafındaki hataları düzeltti. Microsoft'un Cihaz Fiyatlandırma programındaki, saldırganların ağ üzerinden kötü amaçlı kod enjekte edip çalıştırabileceği bir güvenlik kusuru biraz tuhaf görünüyor (CVE-2026-21536, CVSS) 9.8risk”eleştirmenAynı durum Microsoft'un Ödeme Orkestratörü hizmetindeki (CVE-2026-26125, CVSS) bir güvenlik açığı için de geçerlidir. 8.6risk”yüksek“). Microsoft ayrıca bu sunucu tarafını da kapatmıştır ve yalnızca şeffaflık nedeniyle bu konuda bilgi vermektedir.
Microsoft Office'teki iki güvenlik açığı, örneğin özenle hazırlanmış belgeler aracılığıyla kodun İnternetten gizlice sokulmasına izin veriyor. Tek yapmanız gereken önizleme penceresinde görüntülemek (CVE-2026-26110, CVE-2026-26113, CVSS) 8.4risk”yüksek“). Excel'de saldırganlar, yardımcı pilot aracı modu sanal alanını atlayabilir ve yetkisiz bilgileri ağ üzerinden yayabilir. Bu, sıfır tıklama güvenlik açığıdır (CVE-2026-26144, CVSS) 7.5risk”yüksek“).
Saldırganlar, Windows yazdırma biriktiricisini kaçak kötü amaçlı kodları yürütmeye zorlamak için değiştirilmiş ağ paketlerini kullanabilir. Ancak bunu yapmak için hedef sistemde en azından düşük ayrıcalıklar gerekir (CVE-2026-23669, CVSS 8.8risk”yüksek“). Sonuçta Microsoft, Chromium projesindeki mevcut Edge güncellemeleriyle kapatılacak on güvenlik açığını listeliyor. Google bunları geçen hafta Chrome'da zaten yamaladı. Windows güncellemeleri, daha fazla cihaz ve ayrıca Windows 10 sistemleri için Secureboot sertifika güncellemelerini getiriyor.
Diğer bazı güvenlik açıkları Microsoft portföyündeki çok sayıda ürün ve hizmeti etkilemektedir. Bu nedenle BT yöneticileri Microsoft'un genel bakışını incelemeli ve kuruluşlarında kullanılan güvenlik açığı bulunan ürünleri güncellemelidir.
Duyurudan sonra devamını okuyun
Salı Yaması sırasında Microsoft, Şubat ayında internette saldırıya uğrayan birçok güvenlik açığını kapatmak zorunda kaldı. Suçlular, Salı Yaması'ndan önce kapatılan güvenlik açıklarından altısını zaten kötüye kullanmıştı.
(Bilmiyorum)
Bir yanıt yazın