Microsoft’un Haziran 2025 Yamanlama Salısı Güncellemeleri
Microsoft, Haziran 2025 Yamanlama Salısı’nda toplam 66 güvenlik açığını içeren güncellemeler yayınladı. Bu açıklar arasında, aktif olarak istismar edilen bir zafiyet ve kamuya duyurulan bir diğer zafiyet bulunmaktadır. Bu ayki yamanlamalar, on adet "Kritik" açık da dahil olmak üzere, sekiz adet uzaktan kod çalıştırma açığı ve iki adet ayrıcalık yükseltme hatası gibi önemli zafiyetleri düzeltmektedir.
Vulnerability Kategorileri
Yamanlama güncellemeleri ile düzeltilecek zafiyet sayıları şu şekildedir:
- 13 Ayrıcalık Yükseltme Zafiyeti
- 3 Güvenlik Özelliği Atlatma Zafiyeti
- 25 Uzaktan Kod Çalıştırma Zafiyeti
- 17 Bilgi Sızdırma Zafiyeti
- 6 Hizmet Reddi Zafiyeti
- 2 Taklit Zafiyeti
Bu sayım, Mariner, Microsoft Edge ve Power Automate gibi ürünlerdeki zafiyetleri içermemektedir; bu açıktan önceki günlerde düzeltilmiştir.
İki Sıfır Gün Zafiyeti
Bu ayki yamanlamalar, bir aktif olarak istismar edilen sıfır gün zafiyetini ve bir kamuya duyurulmuş zafiyeti düzeltmektedir. Microsoft, sıfır gün zafiyetini, resmi bir düzeltme olmadan kamuya duyurulmuş veya aktif olarak istismar edilen bir zafiyet olarak tanımlamaktadır.
CVE-2025-33053 – Web Dağıtım İzni ve Sürümleme (WEBDAV) Uzaktan Kod Çalıştırma Zafiyeti, Check Point Research tarafından keşfedilen bir zafiyettir. Check Point bir uyarıda bulunarak, "Bu zafiyet, Microsoft Windows Web Dağıtım İzni ve Sürümleme’de bulunmaktadır. Başarılı bir şekilde istismar edilmesi, bir uzaktan saldırganın etkilenen sistemde rasgele kod çalıştırmasına olanak sağlayabilir," ifadesini kullanmıştır.
Bir kullanıcı, bu zafiyeti istismar etmek için özel hazırlanmış bir WebDav URL‘sine tıklamalıdır. Check Point Research tarafından yapılan bir rapor, bu zafiyetin, "Stealth Falcon" adlı APT grubunun sıfır gün saldırılarıyla istismar edildiğini belirtmektedir.
Diğer taraftan, kamuya duyurulan sıfır gün zafiyeti CVE-2025-33073 – Windows SMB İstemcisi Ayrıcalık Yükseltme Zafiyeti’dir. Bu zafiyet, saldırganların etkilenen cihazlarda sistem ayrıcalıkları kazanmasına izin vermektedir. Microsoft, bu zafiyeti istismar edilmesi durumunda, bir saldırganın kötü amaçlı bir betiği çalıştırarak kurban makinesinin saldırı sistemine bağlanmasını zorlayabileceğini belirtmiştir.
Diğer Şirketlerden Güncellemeler
Haziran 2025’te diğer şirketlerin de güncellemeleri bulunmaktadır:
- Adobe, InCopy, Experience Manager ve diğer ürünler için güvenlik güncellemeleri yayınladı.
- Cisco, iki ürününde bulunan üç güvenlik açığını düzeltti.
- Fortinet, FortiManager ve FortiAnalyzer ürününde bir OS komut açığı için güvenlik güncellemeleri yayınladı.
- Google, Android için birçok zafiyeti düzelten güncellemeler sundu.
- HP, sekiz zafiyeti etkileyen güncellemelerini yayınladı.
- SAP, bir kritik eksik yetkilendirme kontrolü içeren güncellemeler yayınladı.
Haziran 2025 Yamanlama Salısı Güvenlik Güncellemeleri
Aşağıda Haziran 2025 yamanlama güncellemeleri ile çözülen zafiyetlerin tam listesi bulunmaktadır. Her zafiyetin ve etkilenen sistemlerin tam tanımına erişmek için burada ayrıntılı raporu görüntüleyebilirsiniz.
- CVE-2025-30399: .NET ve Visual Studio Uzaktan Kod Çalıştırma Zafiyeti – Önemli
- CVE-2025-33069: Windows App Control for Business Güvenlik Özelliği Atlatma Zafiyeti – Önemli
- CVE-2025-47968: Microsoft AutoUpdate Ayrıcalık Yükseltme Zafiyeti – Önemli
- CVE-2025-47164: Microsoft Office Uzaktan Kod Çalıştırma Zafiyeti – Kritik
- CVE-2025-47167: Microsoft Office Uzaktan Kod Çalıştırma Zafiyeti – Kritik
- CVE-2025-47168: Microsoft Word Uzaktan Kod Çalıştırma Zafiyeti – Önemli
Bu güncellemeleri uygulamak, sistemlerinizin güvenliğini artırmak ve potansiyel tehditleri bertaraf etmek için son derece önemlidir. Çağımızda siber güvenlik, işletmeler ve bireyler için kritik bir öncelik haline gelmiştir.
