Microsoft, Haziran 2026 Patch güncellemesinde tam 206 güvenlik açığı için yama yayınladı. Bu, şirketin aylık güvenlik güncellemesi tarihindeki en yüksek rakam. Yamaların arasında 3 zero-day ve CVSS 9.8 puanlı kritik RCE açıkları da bulunuyor.
206 açığın 39’u kritik, 167’si önemli olarak derecelendirilmiş. Türlerine göre dağılım şöyle:
- Privilege Escalation: 63
- Remote Code Execution (RCE): 56
- Information Disclosure: 30
- Spoofing: 27
- Security Feature Bypass: 20
- Denial-of-Service: 7
- Tampering: 3
Bunlara ek olarak Google’ın Chromium’da düzelttiği 350’den fazla güvenlik açığı da Edge tarafına yansıyor.
Üç zero-day açık
CVE-2026-50507 (CVSS 6.8): BitLocker bypass açığı. “bitskrieg” olarak bilinen exploit’in düzeltmesi. Fiziksel erişim gerektiriyor ama şifrelenmiş verilere erişim sağlıyor.
CVE-2026-45586 (CVSS 7.8): Windows Collaborative Translation Framework’te privilege escalation. “GreenPlasma” zero-day’inin düzeltmesi olduğu düşünülüyor. İlginç olan, bu açığın Aralık 2020’deki CVE-2020-17103 için yapılan eksik yamanın bir sonucu olması.
CVE-2026-49160 (CVSS 7.5): HTTP.sys’te denial-of-service açığı. HTTP/2 Bomb saldırı tekniğiyle ilgili. Testlerde, koruma olmadan IIS’in 64 GB RAM’i 45 saniyede tükettiği görülmüş.
CVSS 9.8 puanlı kritik açıklar
CVE-2026-45657: Windows Kernel’da use-after-free açığı. Ağ üzerinden gelen zararlı paketlerle, oturum açmaya bile gerek kalmadan sistem düzeyinde kod çalıştırmaya izin veriyor.
CVE-2026-47291: HTTP.sys’te integer overflow açığı. Yine ağ üzerinden yetkisiz kod çalıştırma imkanı sağlıyor.
CVE-2026-44815: Windows DHCP Client’ta stack-based buffer overflow. DHCP her ağın temel bileşeni olduğundan, bu açık sunucu ele geçirme, malware dağıtma ve veri hırsızlığına yol açabilir.
BitLocker sorunları devam ediyor
Bu ayki yamalar arasında dört ayrı BitLocker bypass açığı var: CVE-2026-45585, CVE-2026-45655, CVE-2026-45658 ve CVE-2026-50507. Chaotic Eclipse grubunun yayınladığı YellowKey PoC ile CVE-2026-45585 için çalışan bir exploit zaten mevcut. Aynı grup, Microsoft Defender’da race condition’a dayanan ve SYSTEM düzeyinde komut istemi açan RoguePlanet PoC’sini de yayınlamış.
AI etkisi ve sektör yorumları
Rekor yama sayısının arkasında AI destekli güvenlik açığı keşfinin etkisi olduğu değerlendiriliyor. Tenable’dan Satnam Narang, “Daha gelişmiş AI modelleri kullanılabilir hale geldikçe bu yükseliş trendinin devam edeceğini bekliyoruz” diyor.
TrendMicro Zero Day Initiative’den Dustin Childs ise daha dikkat çekici bir noktaya parmak basıyor: “Microsoft’un bu yıl yayınladığı toplam CVE sayısı, 2018’in tamamını çoktan geçti. Birçok test uzmanı bu kadar yamanın kalite sorunlarına yol açıp açmayacağını merak ediyor.”
Özellikle CVSS 9.8 puanlı üç RCE açığının ağ üzerinden kimlik doğrulaması bile gerektirmeden sömürülebilmesi, bu yamaların acil uygulanmasını zorunlu kılıyor. Windows sunucu yöneticileri için bu ay gerçekten yoğun geçecek.
Kaynak: https://thehackernews.com/2026/06/microsoft-patches-record-206-flaws.html
